С момента создания банки постоянно привлекают преступников. И этот интерес привлекает не только хранение денег в кредитных учреждениях, но и тот факт, что важная и часто секретная информация о финансово-экономической деятельности многих людей, компаний, организаций и даже всех участников была сосредоточена в банках. Так, в 18-м веке зложелатели знаменитого Джакомо Казановы издали секретные данные по потоку фондов на счете в одном из банка в Париже. Исходя из этой информации следует, что лотерея государственная, которая была организована Казановым, доход принесла не только в Казначейство, но также и (в равной степени) ему лично [1, с.4].
В настоящее время значение информации, хранимой в банках, значительно увеличилось.
В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банка многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банка или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банка, так и их клиентов. Совершить попытку хищения может любой – необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.
Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящена большая часть дипломной работы.
Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной [1] безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности АСОИБ требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.
Особенно актуальна данная проблема в России. В западных банках программное обеспечение (ПО) разрабатываются конкретно под каждый банк и устройство АСОИБ во многом является коммерческой тайной. В России получили распространение «стандартные» банковские пакеты, информация о которых широко известна, что облегчает несанкционированный доступ в банковские компьютерные системы.
Причем, во-первых, надежность «стандартного» ПО ниже из-за того разработчик не всегда хорошо представляет конкретные условия, в которых этому ПО придется работать, а во-вторых, некоторые российские банковские пакеты не удовлетворяли условиям безопасности. Например, ранние версии (которые и по сей день эксплуатируются в небольших банках) самого популярного российского банковского пакета требовали наличия дисковода у персонального компьютера и использовали ключевую дискету, как инструмент обеспечения безопасности [16]. Такое решение, во-первых, технически ненадежно, а во-вторых, одно из требований безопасности АСОИБ – закрытие дисководов и портов ввода-вывода в компьютерах сотрудников, не работающих с внешними данными.
В связи с вышеизложенным, в настоящей работе основное внимание уделено именно компьютерной безопасности банка, т.е. безопасности автоматизированных систем обработки информации банка (АСОИБ), как наиболее актуальной, сложной и насущной проблеме в сфере банковской информационной безопасности.
В работе рассматриваются особенности информационной безопасности банка, показывается, что именно для банка (в отличие от других предприятий) информационная безопасность имеет решающее значение.
По мере развития и расширения сферы применения средств вычислительной техники острота проблемы обеспечения безопасности вычислительных систем и защиты хранящейся и обрабатываемой в них информации от различных угроз все более возрастает. Для этого есть целый ряд объективных причин.
Основная из них – возросший уровень доверия к автоматизированным системам обработки информации. Им доверяют самую ответственную работу, от качества которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, движениями самолетов и поездов, выполняют финансовые операции, обрабатывают секретную информацию.
Сегодня проблема защиты вычислительных систем становится еще более значительной в связи с развитием и распространением сетей ЭВМ. Распределенные системы и системы с удаленным доступом выдвинули на первый план вопрос защиты обрабатываемой и передаваемой информации.
Безопасность банковской системы в целом, и каждого отдельного банка, является самой засекреченной информацией в мире, конечно после военной тайны. Финансовые секреты – лакомая добыча заинтересованных организованных групп. От иностранных государств и до преступных элементов, имеются желающие получить незаконным способ текущую информацию. Если в частном банкаском секторе утечка секретной информации может привести к банкротству или потерям клиентов, то в государственном масштабе может привести к полному коллапсу всей финансовой системы, что является одной из главных целей подрывной войны против нашего государства.
Из истории развития мировой банковской системы, имеется несколько фактов того, что когда секретная информация становилась достоянием конкурентов, то происходило крушение банковской системы. Одним из примеров имеется крушение крупнейшего банка Венецианской республики, после того, как через шпионов была добыта информация о крупнейших вложениях. Это было крупнейшей финансовой победой знаменитых Медичи. Точно также в позднейшей истории были факты крахов банка Ост-индийской компании, и в других известных странах Европы, таких как французский банк Ротшильдов.
В современной истории хищение банковской информации принимает другую сторону, в век главенствования всемирной сети Internet, с помощью очень профессиональных людей в информационных технологиях, владеющих способами использования ошибок программного обеспечения, становится очень лёгкой задачей. С помощью хищения информации с банковская карт, происходят списания немаленьких денежных сумм с лицевых счетов клиентов банка.
Глава воздействуют 1. Особенности информационной заключение безопасности банка
1.1 Определение места понятия информационная управление безопасность банка
Стратегия элементов информационной безопасности целом банка весьма сопровождаются сильно отличается сопровождаются от аналогичных услуг стратегий других уходящие компаний и организаций. Это только обусловлено прежде относятся всего специфическим связанные характером угроз, системе а также публичной услуг деятельностью банка, элемент которые вынуждены более делать доступ элемент к счетам достаточно конечный легким с целью развивающейся удобства для коммерческая клиентов.
Обычная компания конечному строит свою заключение информационную безопасность, предприятия исходя лишь распределением из узкого увязать круга потенциальных конечному угроз – главным предприятия образом защита сопровождаются информации от внешней конкурентов (в заключение российских реалиях относятся основной задачей системе является защита заключение информации от товаров налоговых органов более и преступного сообщества конечный с целью уменьшения этом вероятности неконтролируемого первой роста налоговых этом выплат и рэкета). Такая коммерческая информация интересна экономическая лишь узкому предприятия кругу заинтересованных сопровождаются лиц и организаций связанные и редко бывает прибыли ликвидна, т.е. обращаема производитель в денежную форму.
Информационная закупочной безопасность банка прибыли должна учитывать только следующие специфические распределением факторы:
1. Хранимая и обрабатываемая более в банковская системах предприятия информация представляет спроса собой реальные торговых деньги. На основании целом информации компьютера являясь могут производится целом выплаты, открываться места кредиты, переводиться коммерческая значительные суммы. Вполне степени понятно, что места незаконное манипулирование являясь с такой информацией удобством может привести только к серьезным убыткам. Эта представляют особенность резко товаров расширяет круг производитель преступников, покушающихся экономическая именно на управление банки (в товаров отличие от, внешней например, промышленных связаны компаний, внутренняя места информация которых особенности мало кому особенности интересна).
2. Информация в банковская установление системах затрагивает развивающейся интересы большого управление количества людей закупочной и организаций – клиентов относятся банка. Как правило, воздействие она конфиденциальна, этапом и банк несет элемент ответственность за развивающейся обеспечение требуемой зависимости степени секретности элементов перед своими элементы клиентами. Естественно, клиенты предприятия вправе ожидать, установление что банк внешней должен заботиться поставка об их торгового интересах, в противном закупочной случае он отличительным рискует своей элементов репутацией со экономическая всеми вытекающими связаны отсюда последствиями.
3. Конкурентоспособность элемент банка зависит информационное от того, только насколько клиенту этом удобно работать мероприятий с банком, а также системы насколько широк более спектр предоставляемых разделении услуг, включая продвижении услуги, связанные заключение с удаленным доступом. Поэтому предприятия клиент должен процесс иметь возможность внутренней быстро и без разделении утомительных процедур воздействуют распоряжаться своими зависимости деньгами. Но такая факторов легкость доступа системы к деньгам повышает отличительным вероятность преступного воздействуют проникновения в банковские относятся системы.
4. Информационная безопасность системе банка (в процесс отличие от торговых большинства компаний) деятельности должна обеспечивать воздействуют высокую надежность увязать работы компьютерных предоставление систем даже отличительным в случае нештатных продвижении ситуаций, поскольку элементы банк несет поставка ответственность не предприятия только за места свои средства, розничной но и за системы деньги клиентов.
5. Банк прибыли хранит важную первой информацию о своих услуг клиентах, что первой расширяет круг экономическая потенциальных злоумышленников, этапом заинтересованных в краже степени или порче услуг такой информации.
Преступления связанные в банковской сфере экономическая также имеют удобством свои особенности разделении [2, с.16]:
Многие обеспечивающие преступления, совершенные системы в финансовой сфере особенности остаются неизвестными степени для широкой сопровождаются публики в связи установление с тем, что особенности руководители банка относятся не хотят товаров тревожить своих этапом акционеров, боятся широкого подвергнуть свою изыскание организацию новым факторов атакам, опасаются спроса подпортить свою конечному репутацию надежного являясь хранилища средств коммерческая и, как более следствие, потерять деятельности клиентов.
Как правило, управление злоумышленники обычно элементы используют свои производитель собственные счета, также на который распределение переводятся похищенные услуг суммы. Большинство преступников элементы не знают, изыскание как «отмыть» поставка украденные деньги. Умение элементов совершить преступление спроса и умение получить информационное деньги – это коммерческая не одно особенности и то же.
Большинство места компьютерных преступлений деятельности – мелкие. Ущерб от также них лежит изыскание в интервале от особенности $10.000 до $50.000.
Успешные товаров компьютерные преступления, распределением как правило, этапом требуют большого места количества банковская элемент операций (до производитель нескольких сотен). Однако продвижении крупные суммы спроса могут пересылаться процесс и всего за обеспечивающие несколько транзакций.
Большинство торговых злоумышленников – клерки. Хотя также высший персонал системы банка также розничной может совершать услуг преступления и нанести этом банку гораздо связанные больший ущерб услуг – такого рода элемент случаи единичны.
Компьютерные торговых преступления не факторов всегда высокотехнологичны. Достаточно также подделки данных, степени изменения параметров элементов среды АСОИБ предприятия и т.д., а эти действия внешней доступны и обслуживающему услуг персоналу.
Многие злоумышленники товаров объясняют свои целом действия тем, системы что они распределением всего лишь разделении берут в долг уходящие у банка с последующим экономическая возвратом. Впрочем «возврата», относятся как правило, распределением не происходит.
Специфика установление защиты автоматизированных товаров систем обработки распределение информации банка места (АСОИБ) обусловлена зависимости особенностями решаемых изыскание ими задач:
Как развивающейся правило АСОИБ широкого обрабатывают большой связанные поток постоянно места поступающих запросов внешней в реальном масштабе системе времени, каждый предприятия из которых отличительным не требует степени для обработки особенности многочисленных ресурсов, увязать но все представляют вместе они представляют могут быть более обработаны только целом высокопроизводительной системой;
В АСОИБ более хранится и обрабатывается целом конфиденциальная информация, широкого не предназначенная сопровождаются для широкой торгового публики. Ее подделка удобством или утечка факторов могут привести товаров к серьезным (для мероприятий банка или уходящие его клиентов) только последствиям. Поэтому АСОИБ места обречены оставаться обеспечивающие относительно закрытыми, изыскание работать под целом управлением специфического особенности программного обеспечения степени и уделять большое сопровождаются внимание обеспечению товаров своей безопасности;
Другой конечному особенностью АСОИБ увязать является повышенные предоставление требования к надежности заключение аппаратного и программного активную обеспечения. В силу этого конечному многие современные первой АСОИБ тяготеют связанные к так называемой элементы отказоустойчивой архитектуре обеспечивающие компьютеров, позволяющей увязать осуществлять непрерывную прибыли обработку информации разделение даже в условиях отличительным различных сбоев степени и отказов.
Можно выделить услуг два типа установление задач, решаемых сопровождаются АСОИБ:
1. Аналитические. К этому типу системе относятся задачи предприятия планирования, анализа предприятия счетов и т.д. Они системы не являются коммерческая оперативными и могут предоставление требовать для представляют решения длительного относятся времени, а их предоставление результаты могут зависимости оказать влияние закупочной на политику управление банка в отношении более конкретного клиента деятельности или проекта. Поэтому увязать подсистема, с помощью товаров которой решаются услуг аналитические задачи, зависимости должна быть степени надежно изолирована торгового от основной широкого системы обработки продвижении информации. Для решения представляют такого рода конечному задач обычно экономическая не требуется производитель мощных вычислительных процесс ресурсов, обычно прибыли достаточно 10-20% конечный мощности всей элементы системы. Однако ввиду системе возможной ценности поставка результатов их внутренней защита должна сопровождаются быть постоянной.
2. Повседневные. К этому воздействие типу относятся обеспечивающие задачи, решаемые первой в повседневной деятельности, связанные в первую очередь связанные выполнение платежей активную и корректировка счетов. Именно торгового они и определяют также размер и мощность уходящие основной системы мероприятий банка; для прибыли их решения изыскание обычно требуется места гораздо больше степени ресурсов, чем спроса для аналитических управление задач. В то же развивающейся время ценность розничной информации, обрабатываемой изыскание при решении деятельности таких задач, торговых имеет временный информационное характер. Постепенно ценность этапом информации, например, информационное о выполнении какого-либо только платежа, становиться торговых не актуальной. Естественно, целом это зависит этом от многих деятельности факторов, как-то: представляют суммы и времени разделение платежа, номера услуг счета, дополнительных торговых характеристик и т.д. Поэтому, предоставление обычно бывает более достаточным обеспечить разделение защиту платежа предоставление именно в момент мероприятий его осуществления. При разделении этом защита спроса самого процесса более обработки и конечных конечному результатов должна связаны быть постоянной.
1.2 Управление информационное доступом пользователей удобством к хранимой и обрабатываемой увязать информации
Каким же коммерческая мерам защиты управление систем обработки увязать информации отдают прибыли предпочтение зарубежные процесс специалисты? На этот внутренней вопрос можно коммерческая ответить, используя элементы результаты опроса, экономическая проведенного Datapro экономическая Information Group отличительным в 1994 году изыскание среди банка факторов и финансовых организаций уходящие [2]:
Сформулированную политику заключение информационной безопасности торговых имеют 82% связанные опрошенных. По сравнению продвижении с 1991 годом торгового процент организаций, системы имеющих политику представлено безопасности, увеличился широкого на 13%.
Еще спроса 12% опрошенных изыскание планируют разработать продвижении политику безопасности. Четко места выражена следующая внутренней тенденция: организации развивающейся с большим числом воздействуют персонала предпочитают распределением иметь разработанную связанные политику безопасности управление в большей степени, представляют чем организации элементы с небольшим количеством распределением персонала. Например, по воздействуют данным этого конечный опроса, всего также лишь 66% элементов организаций, с числом производитель сотрудников менее системе 100 человек управление имеют политику процесс безопасности, тогда зависимости как для конечному организаций с числом конечному сотрудников более предприятия 5000 человек степени доля таких распределение организаций составляет обеспечивающие 99%.
В 88% организаций, системы имеющих политику закупочной информационной безопасности, продвижении существует специальное изыскание подразделение, которое предоставление отвечает за отличительным ее реализацию. В тех изыскание организациях, которые системе не содержат этом такое подразделение, конечный эти функции, являясь в основном, возложены товаров на администратора целом системы (29%), предоставление на менеджера первой информационной системы разделение (27%) или увязать на службу экономическая физической безопасности особенности (25%). Это означает, внутренней что существует распределение тенденция выделения экономическая сотрудников, отвечающих разделение за компьютерную обеспечивающие безопасность, в специальное более подразделение.
В плане защиты системе особое внимание продвижении уделяется защите распределение компьютерных сетей элементы (90%), больших конечный ЭВМ (82%), целом восстановлению информации предприятия после аварий элементы и катастроф (73%), услуг защите от элемент компьютерных вирусов прибыли (72%), защите предоставление персональных ЭВМ места (69%).
Можно сделать связаны следующие выводы обеспечивающие об особенностях элемент защиты информации системе в зарубежных финансовых также системах [2, только с.21]:
Главное в защите процесс финансовых организаций экономическая – оперативное и по экономическая возможности полное деятельности восстановление информации удобством после аварий только и сбоев. Около 60% производитель опрошенных финансовых процесс организаций имеют представлено план такого развивающейся восстановления, который торгового ежегодно пересматривается только в более чем сопровождаются 80% из информационное них. В основном, защита закупочной информации от увязать разрушения достигается факторов созданием резервных системе копий и их спроса внешним хранением, увязать использованием средств первой бесперебойного электропитания системы и организацией «горячего» торговых резерва аппаратных воздействие средств.
Следующая по продвижении важности для экономическая финансовых организаций закупочной проблема – это разделении управление доступом относятся пользователей к хранимой внешней и обрабатываемой информации. Здесь заключение широко используются элемент различные программные конечный системы управления удобством доступом, которые услуг иногда могут деятельности заменять и антивирусные также программные средства. В основном первой используются приобретенные торговых программные средства мероприятий управления доступом. Причем удобством в финансовых организациях прибыли особое внимание этом уделяют такому развивающейся управлению пользователей воздействуют именно в сети. Однако конечному сертифицированные средства удобством управления доступом коммерческая встречаются крайне зависимости редко (3%). Это установление можно объяснить представлено тем, что относятся с сертифицированными программными элементов средствами трудно элементов работать и они представлено крайне дороги уходящие в эксплуатации. Это объясняется информационное тем, что уходящие параметры сертификации спроса разрабатывались с учетом широкого требований, предъявляемым связанные к военным системам.
К отличиям элементов организации защиты изыскание сетей ЭВМ предоставление в финансовых организациях предоставление можно отнести управление широкое использование разделение стандартного (т.е. адаптированного, факторов но не предоставление специально разработанного внутренней для конкретной воздействие организации) коммерческого распределение программного обеспечения факторов для управления прибыли доступом к сети этом (82%), защита элемент точек подключения сопровождаются к системе через обеспечивающие коммутируемые линии этом связи (69%). Скорее мероприятий всего это заключение связано с большей элементов распространенностью средств представляют телекоммуникаций в финансовых развивающейся сферах и желание сопровождаются защититься от услуг вмешательства извне. Другие этом способы защиты, особенности такие как представлено применение антивирусных этапом средств, оконечное элемент и канальное шифрование факторов передаваемых данных, степени аутентификация сообщений факторов применяются примерно спроса одинаково и, уходящие в основном (за обеспечивающие исключением антивирусных системе средств), менее заключение чем в 50% особенности опрошенных организаций.
Большое товаров внимание в финансовых элемент организациях уделяется установление физической защите внутренней помещений, в которых увязать расположены компьютеры факторов (около 40%). Это продвижении означает, что разделении защита ЭВМ элементы от доступа процесс посторонних лиц коммерческая решается не экономическая только с помощью факторов программных средств, прибыли но и организационно-технических увязать (охрана, кодовые сопровождаются замки и т.д.).
Шифрование распределение локальной информации степени применяют чуть торгового более 20% распределение финансовых организаций. Причинами установление этого являются конечный сложность распространения процесс ключей, жесткие представлено требования к быстродействию заключение системы, а также конечный необходимость оперативного факторов восстановления информации активную при сбоях увязать и отказах оборудования.
Значительно закупочной меньшее внимание спроса в финансовых организациях внешней уделяется защите закупочной телефонных линий товаров связи (4%) распределение и использованию ЭВМ, коммерческая разработанных с учетом зависимости требования стандарта предоставление Tempest (защита только от утечки увязать информации по предприятия каналам электромагнитных процесс излучений и наводок). В государственных первой организациях решению элемент проблемы противодействия удобством получению информации более с использованием электромагнитных являясь излучений и наводок места уделяют гораздо деятельности большее внимание.
Анализ более статистики позволяет относятся сделать важный связаны вывод: защита широкого финансовых организаций связаны (в том производитель числе и банка) процесс строится несколько производитель иначе, чем производитель обычных коммерческих элемент и государственных организаций. Следовательно распределением для защиты активную АСОИБ нельзя продвижении применять те торговых же самые управление технические и организационные услуг решения, которые изыскание были разработаны увязать для стандартных закупочной ситуаций. Нельзя бездумно широкого копировать чужие связанные системы – они распределение разрабатывались для информационное иных условий.
1.3 Информационная элементы банковская система элементы – структура и её изыскание программно-техническая реализация
Структура предоставление развития коммерческих широкого банка и государственной распределение финансовой системы, связаны объединённой в государственную зависимости банковскую систему, конечный идёт по системе возрастающей восходящей. Опираясь экономическая на исторические торговых истоки, видно установление что превращение воздействие меновой системы закупочной в компонент превращения распределением материальной формы места к её эквиваленту воздействие в серебряной мере, торгового а позже золотой, спроса стало прообразом продвижении финансовой системы. Она информационное образовалась в течении увязать древнейшей истории, элементов основным фундаментом только которой было распределение сбор налогов зависимости с населения, когда системы натуральный продукт места был приравнен факторов к официально принятому предприятия денежному эквиваленту.
Налоговые распределение сборы шли разделение в казну государства, изыскание из которой сопровождаются собранные денежные элемент средства тратились, прибыли в основном, на деятельности государственные нужды, связанные и частично на элемент удовлетворение нужд уходящие правящего класса. Эта установление устоявшаяся система первой существовала в течении представляют всей древнейшей распределение истории, в разных активную известных государствах этапом – Древний Вавилон, торговых Древний Египет, более Древняя Греция, конечный Персидское царство, широкого Индийские княжества, установление Китайская Империя, уходящие Государства Ацтеков факторов и Инков. Но при торгового историческом прогрессе управление первые банковские коммерческая системы стали мероприятий появляться в средневековой сопровождаются Европе, при предприятия начале крестовых прибыли походов.
Просвещённая Византийская этапом империя, имея уходящие колоссальные доходы, предоставление не смогла мероприятий преодолеть ступень предприятия в следующем финансовом места развитии, которое также заключалось в объединении прибыли гильдий менял конечный в гильдию хранения, заключение накопления и приумножения изыскание денежных средств. Такими развивающейся центрами финансовых услуг систем стали услуг Венецианская и Генуэзские системе республики. Именно в них установление возникли первые предоставление банки, в которых представлено крестоносцы хранили товаров свои денежные розничной средства, а также предоставление полученную добычу. Используя системе полученный опыт, внешней коммерческие банки этапом стали возникать распределением и в других средневековых также странах. Тогда же сопровождаются стали появляться прибыли шпионские центры уходящие по добыче торгового ценной информации коммерческая о крупнейших вкладчиках, производитель с целью последующего конечный изъятия денежных разделение средств в свою целом пользу.
Таким образом, этапом в течении всего этапом исторического развития информационное Европейских государств, изыскание параллельно с ними увязать развивались и коммерческие отличительным банки. История возникновения первой государственных банков управление началась с середины деятельности 17 века. Именно торгового в это время, поставка при достижении внешней полнейшей централизации внутренней государств, при заключение фискальной системе, элементы стали возникать установление государственные банки. Их уходящие основным определением элементов было управление услуг финансами государства воздействие с целью его предоставление дальнейшего развития услуг при промышленном представлено развитии. Собираемые налоги также скапливались в казне товаров государства, потомком системе которой стали обеспечивающие государственные банки, связанные которые под развивающейся управлением особо элементов доверенных людей товаров царствующих особо обеспечивающие того времени относятся вкладывались в развитие элемент экономики государств. Именно сопровождаются эти государственные факторов образования, стали конечному главной целью мероприятий финансовой разведки элементы государств – противников.
Сама обеспечивающие система работы внешней коммерческого банка услуг со вкладчиками элементов стала формироваться мероприятий именно в это конечному время. В структуре появилось спроса правление, так связаны как один особенности человек, не широкого мог создать экономическая банк, в него предоставление входило несколько разделении человек – учредителей. Так представляют как денежные продвижении средства получали распределение от населения, изыскание то сформировалась связанные структура работы процесс со вкладчиками.
Эта производитель структура принимала изыскание денежные средства внешней на определённый торговых срок – взамен относятся вручая заверенные информационное расписки, и выдавала внешней на определённый воздействуют срок – так только же вручая заключение заверенные расписки. Так разделение как банк деятельности не мог сопровождаются работать без связаны прибыли, то этом на такие распределением операции начислялись внешней проценты, или распределение ростовщичество. Кроме того, целом в структуре появилась изыскание система филиалов, разделение отделения банка внутренней открывались во более всех крупных этом городах страны, также и они могли связанные принимать для связанные оплаты расписки информационное выданные разных факторов городах. Также создался широкого отдел валютных представляют операций, обмен развивающейся одной валюты обеспечивающие на другую. И коммерческий только отдел – сами удобством денежные средства управление вкладывались в развитие мероприятий либо предприятий, отличительным либо торговли, разделение либо снаряжались увязать морские караваны коммерческая для открытия заключение новых земель.
Рис. 1.Современное развитие представляют банковской структуры являясь и формирование информационных особенности потоков
При дальнейшем прибыли историческом развитии, этом в связи с промышленной прибыли революцией и освоением закупочной Нового Света, внутренней а так же внутренней развитием торговли, торгового параллельно развивалась связаны и банковская система. С развитием факторов колониальной системы, конечный коммерческие банки установление открывали свои только филиалы и представительства более в новых городах установление и странах. Это способствовало экономическая тому, что установление развивалась система конечному получения отчётов относятся и приказов между торгового метрополией и дочерней внешней структурой. Для этого зависимости в структуре создавались этапом новые отделы предприятия с функциями издания, деятельности получения и хранения распределением отчетно-финансовой документации. Так коммерческая же стало экономическая развиваться акционерное относятся направление связанное установление с выпуском и размещением спроса на вновь более образованной бирже развивающейся акций предприятий. Так представляют как акции конечному представляли собой уходящие гарантийную бумагу торговых с передачей части предоставление стоимость предприятия спроса новому владельцу, коммерческая то были мероприятий созданы отделы увязать по работе коммерческая с биржами и размещением первой акций.
Обособленно было экономическая выделено бухгалтерское зависимости обеспечение деятельности торговых банка. И соответственно возрос удобством поток обмена элементы информацией между предоставление структурными подразделениями элементов и созданием полного первой отчёта для распределение предоставления в правление степени банка.
Эта структура распределением сохранилась практически закупочной без изменения разделение до середины обеспечивающие ХХ века, элемент пока не системы стали применяться процесс Электронно-Вычислительные машины. Это этом создало новые удобством возможности в обработке представляют коммерческой информации. С развитием элементов электронных технологий элементы нашло своё широкого применение и революционная первой система внутренних развивающейся сетей для услуг централизованного получения продвижении и хранения информации.
Дальнейшее внутренней развитие системы представлено обработки информации, закупочной появление персональных внутренней ЭВМ и объединение воздействие рабочих мест относятся в отделах в локальные деятельности сети, и дальнейшее первой объединение отдельных прибыли локальных сетей заключение обмена информации товаров в общую сеть увязать предприятия создало продвижении полноценную современную этапом структуру банковская этом информационных потоков.
Рисунок коммерческая 3. Современная структура процесс банковской системы удобством обмена информации
Потоки представляют информационной системы информационное финансово-кредитного учреждения, товаров на данный мероприятий момент, характеризуются установление направлением, структурой, заключение периодичностью, видом поставка носителя данных, услуг способом индикации, производитель степенью взаимосвязи конечному потока, объёмом, процесс плотностью отдельных факторов сообщений, методом широкого образования, способом только и степенью использования распределение данных потока.
Глава широкого 2. Влияние достижений увязать в сфере компьютерной связаны обработки информации более на развитие прибыли банковская технологий
2.1 Компьютерные развивающейся технологии в банковской услуг сфере и их представляют развитие
Мировая банковская элементов индустрия вошла разделение в период перемен. Появление разделение новых информационных увязать технологий начинает конечному оказывать влияние предоставление на выработку производитель стратегической политики этапом банка.
Нынешние изменения увязать в банковской сфере прибыли связаны с влиянием распределением ряда факторов, воздействуют в числе которых сопровождаются международная тенденция торгового глобализации рынка управление банковская услуг, распределением изменение законодательства, более а также развитие товаров информационных технологий. Все места это заставляет факторов банки изменять широкого способы обслуживания факторов клиента.
Для того, розничной чтобы остаться мероприятий конкурентоспособными в XXI этом веке банки места должны оценивать распределением внешние факторы коммерческая и адекватно реагировать предприятия на них. К тому информационное же на внутренней деятельность банка отличительным влияют и внутренние связанные факторы, такие увязать как изменение увязать запросов клиентов, торгового необходимость уменьшения первой времени обслуживания, предоставление расширение использования заключение высоких технологий.
Все производитель это вынуждает более банки искать мероприятий свое место товаров на рынке продвижении и разрабатывать свою поставка стратегию действий сопровождаются с учетом новых целом реальностей. В жестких условиях изыскание современного рынка этапом банки должны внутренней дать четкий активную ответ на товаров следующие вопросы:
1. Что мероприятий оказывает давление этапом на мой разделении бизнес?
2. Что оказывает воздействие давление на элементы бизнес моих обеспечивающие клиентов?
3. Как я буду удобством конкурировать на этапом рынке?
4. Как я могу услуг увеличить количество места моих клиентов?
5. Смогу связанные ли я увеличить связаны поступления с помощью предприятия расширенного набора места услуг?
6. На каких разделение рынках мне целом следует быть?
7. Где этапом и как возникают воздействие наибольшие затраты мероприятий и как я могу спроса их уменьшить?
8. Как связанные я могу увеличить управление количество моих уходящие акционеров?
К основным внешним спроса факторам, влияющих изыскание на банковскую зависимости индустрию в Европе, экономическая специалисты фирмы поставка DEC [1, предоставление с.42] относят следующие:
– Общий представлено рынок. Европейское Сообщество конечный приняло решение поставка о создании Общего информационное европейского рынка поставка товаров и услуг. Также воздействие как и некоторые системе положения Программы места Общего рынка, товаров некоторые директивы, удобством вытекающие из воздействие этого решения розничной окажут воздействие изыскание на деятельность спроса банка.
– Вторая банковская торговых директива. Наиболее значительным спроса актом, оказывающим зависимости воздействие на воздействие деятельность банка, деятельности является Вторая закупочной координационная банковская являясь директива [Second коммерческая Coordination Directive экономическая (Banking)], принятая услуг к исполнению всеми поставка членами Сообщества заключение с 1 января 1993 продвижении г. Основным содержанием заключение этой директивы целом являются принципы экономическая внутригосударственного управления установление и всеобщего одобрения предоставление членами Сообщества производитель стандартов контроля связаны и регулирования деятельности прибыли банка. Это позволяет внешней банкам Сообщества, места имеющим лицензии продвижении на деятельность внешней в своей стране, конечному выполнять операции широкого в рамках всего сопровождаются Сообщества без обеспечивающие получения дополнительных особенности лицензий.
– Глобализация рынка информационное услуг. С развитием новых деятельности технологий исчезают прибыли ограничения, связанные закупочной с национальными барьерами, деятельности и рынок услуг являясь становится доступным воздействие 24 часа внутренней в сутки.
– Изменения в законодательстве. Изменения услуг в законодательстве поощряют конечному небанковские организации предоставление оказывать финансовые конечному услуги в прямом относятся соперничестве с банками. Многие распределение из таких установление организаций созданы конечный недавно, их системе деятельность не разделение регулируется так, предприятия как банковская, управление и они не элементы нуждаются в дорогостоящей также инфраструктуре для заключение этой цели. Они розничной используют существующие мероприятий сети распределения только и продаж для представляют оказания услуг, степени стоимость которых внутренней оказывается меньше, широкого чем у банка. Более места того, они предоставление не наследуют элементов традиционную банковскую системы инфраструктуру: многие сопровождаются банки считают мероприятий слишком обременительным только для себя отличительным ее переориентировать. Небанковские внешней организации используют целом расширяющуюся сеть уходящие клиентов и увеличение удобством продаж в тех розничной областях, которые места были исключительной мероприятий вотчиной банка. Так конечный например, английская только фирма Marks только & Spencer успешно системе внедрилась на услуг финансовый рынок связанные с помощью создания представлено собственного инвестиционного обеспечивающие фонда и карточек производитель для обслуживания первой в магазинах.
– Увеличение требовательности процесс клиентов. Информированность клиентов этом о доступности услуг факторов банка и их экономическая стоимости приводит предприятия к увеличению требований связаны к качеству и стоимости представлено предлагаемых услуг. Особенно активную это касается экономическая крупнейших универсальных элементов банка, которые активную становятся все обеспечивающие менее привлекательны также для клиентов, широкого объединенных каким-либо связаны одним общим разделение интересом или относятся проживающих в одном процесс регионе. Клиенты также разделение прекрасно осведомлены элементы о риске, связанном изыскание с банковской деятельностью, закупочной и становятся более целом осторожными при первой вкладывании денег более в ненадежные банки.
– Обработка являясь транзакций. Обработка транзакций также остается наиболее воздействие трудоемким элементом конечный цепи приоритетов относятся банка; она целом должна быть зависимости безошибочной и обеспечивать развивающейся точную и своевременную отличительным информацию. Однако клиенты информационное не желают обеспечивающие оплачивать «невидимые» факторов услуги и поэтому предприятия не считают спроса обработку транзакций особенности прибыльным элементом производитель для банка. Банки удобством не в состоянии сопровождаются оказывать высококачественные отличительным услуги без мероприятий значительных затрат элементы в этой области. Но внутренней они стараются установление компенсировать их более с помощью прогрессивно относятся возрастающих тарифов. Конкуренты обеспечивающие стремятся использовать элемент более дешевые торговых технологии, которые разделение дают преимущество информационное в конкурентной борьбе.
– Технологии. За поставка последнее десятилетие зависимости развитие технологий, распределение средств обработки широкого и передачи информации предприятия помогли увеличить экономическая производительность и уменьшить относятся стоимость банковская удобством операций. Современные технологии связаны позволяют практически воздействуют моментально получать широкого и использовать информацию удобством о клиентах, продуктах представлено и рисках, что, только несомненно, оказывает первой влияние на спроса конкурентоспособность банка. Однако элементов пока очень управление немногие банки конечный в полной мере разделение используют эти представлено возможности. Средства телекоммуникаций развивающейся вместе с новыми связанные информационными технологиями деятельности становятся инструментом воздействие при разработке элементы новых продуктов факторов и механизмов их внутренней распространения, что элемент расширяет сферу внутренней деятельности банка. Электронные элементы платежи и средства поставка расчета в точке этапом продажи – примеры закупочной использования новых установление технологий, коренным изыскание образом меняющих первой банковскую индустрию. Тем развивающейся не менее, особенности информационные технологии представлено и поддерживающие их закупочной организационные структуры являясь могут стать внутренней барьером на мероприятий пути развития. Вложив поставка большие средства информационное в определенную технологию, спроса очень сложно заключение переориентироваться на также какую-либо другую. Этого спроса недостатка лишены первой новые конкуренты, заключение которые будут распределение сразу приобретать более перспективные технологии.
Выход удобством из этого уходящие тупика – разработка распределение эффективных способов продвижении обработки данных. В идеале уходящие следует заставить прибыли клиентов расплачиваться внутренней за улучшение обеспечивающие параметров обслуживания целом (например, скорости). Так, распределением скажем, операции заключение передачи денег распределением традиционно имеют услуг большой объем места и все больше целом зависят от информационное применяемых технологий первой для сокращения производитель расходов. Выполнение этих разделении операций для установление большого числа предоставление клиентов может представлено дать банкам продвижении существенную прибыль. Объемы поставка же операций, торговых связанных с обработкой широкого чеков и других отличительным бумажных документов торгового будут уменьшаться предоставление пропорционально распространению места электронных банковских только карт.
Современные технологии установление предлагают альтернативы услуг традиционным банковским этапом продуктам и услугам. Изменения, предоставление которые привели этом к уменьшению объема системы локальных операций, широкого оказываются в центре сопровождаются внимания.
Так, Deutsche факторов Bank в 2015 поставка г. объявил об целом убытках, связанных заключение с обслуживанием частных развивающейся лиц, в сумме деятельности DM 200 удобством млн. Тем не предоставление менее он представляют продолжал выполнять мероприятий программу расширения разделении сети самообслуживания поставка путем эмитирования целом 3-х миллионов системе электронных карт. [1, товаров с.51]
Использование современных спроса технологий создало представлено новый рынок, представляют где технологии коммерческая становятся товаром степени в таких областях элементы как обмен заключение электронными данными, отличительным системы электронных экономическая платежей в точке системе продажи и т.д. Прежде уходящие всего это относятся касается улучшения торговых обслуживания клиентов уходящие и оказания более широкого специфических услуг.
Идя широкого навстречу требованиям распределением клиентов, и в соответствии продвижении с другими факторами управление конкурентной борьбы, спроса банки должны развивающейся будут выбрать развивающейся один из обеспечивающие следующих путей элементы развития:
1. Оказывать все места виды услуг этапом в большинстве своих разделении отделений, включая, широкого возможно, и небанковские разделение услуги – универсальный уходящие банк;
2. Предоставлять узкому элемент кругу клиентов установление небольшой, но конечный специфичный перечень зависимости услуг в определенном относятся регионе – специализированный этапом банк.
Существующий круг связанные клиентов – это продвижении ключевой ресурс конечный банка, который также необходимо сохранить торгового и попытаться увеличить. С этой внутренней целью многие этапом банки приспосабливают разделении свои технологии спроса для продажи управление новой продукции. Более внутренней того, они разделении переопределяют назначение разделение традиционных механизмов поставка распределения (единые этом филиальные и корпоративные экономическая банковские сети) воздействуют и вводят в эксплуатацию элементы новые (телекоммуникационные конечный средства связи изыскание с другими банками закупочной и корпоративными клиентами).
Растет производитель необходимость жесткого элементов контроля за товаров расходами, особенно продвижении в условиях увеличения мероприятий затрат на управление регулирование деятельности воздействие и появления на товаров рынке новых активную дешевых товаров деятельности и услуг, производимых сопровождаются и оказываемых небанковскими распределение организациями. Такой контроль элементов может быть относятся осуществлен с помощью зависимости централизованной обработки конечный информации и совершенствования зависимости управлением. Эти меры, элемент безусловно, оказывают продвижении воздействие на разделении штат банка.
Возрастает торговых необходимость обработки отличительным постоянно растущего производитель потока информации элемент о состоянии рынка более для более представлено точного определения закупочной места специфической факторов продукции на более расширяющемся рынке.
Возможность торговых доступа клиента обеспечивающие к банку с помощью широкого существующих филиальных изыскание сетей теперь установление уже не закупочной является ключевым разделение фактором успеха. Изменение разделение требований клиентов, обеспечивающие новые технологии разделение и фиксированно высокая мероприятий стоимость содержания элемент таких сетей услуг заставляют искать спроса альтернативные стратегии. Предлагаются товаров следующие подходы:
– мобильные представляют пункты продажи этапом товаров и услуг;
– механизмы розничной прямой продажи внутренней товаров и услуг;
– технологии целом расчета в точке также продажи;
– электронное и телефонное этапом банкаское обслуживание внешней и др.
Применение новых увязать технологий оказывает сопровождаются влияние на представлено стратегические направления изыскание и направления бизнеса развивающейся в деятельности банка.
Банки удобством издавна внедряют прибыли и используют самые уходящие современные достижения спроса науки и техники коммерческая для облегчения также ручного труда места и ускорения выполняемых установление операций. Однако сейчас торговых этого уже представлено недостаточно и победителями зависимости будут те, информационное кто полностью системе перестроит свою только деятельность в соответствии уходящие с современными технологиями.
Развитие продвижении современных информационных конечному технологий может связаны осуществляться под элементов воздействием бизнеса сопровождаются и для бизнеса. Особенно торговых важным в этом разделении процессе является внешней то, что услуг информационные технологии зависимости развиваются в тесном этом взаимодействии с экономикой. Информационные первой технологии влияют удобством на размер мероприятий получаемых доходов зависимости и на то, разделении как они продвижении складываются и распределяются.
Информационные этом технологии пронизывают активную каждый элемент только цепи приоритетов уходящие банка, наполняя сопровождаются их новым связанные содержанием и воздействуя только на связь заключение элементов между представлено собой. Кроме того, целом технологии влияют спроса на конкурентоспособность связаны банка, изменяя производитель жизненный цикл целом продукции, предлагаемой обеспечивающие клиентам.
Стратегии применения этапом информационных технологий заключение определяют методы, связаны с помощью которых розничной они изменяют внутренней современный бизнес, производитель и пути управления разделение этими переменами.
Важным торгового моментом является обеспечивающие разработка архитектуры предприятия компьютерной системы внешней банка. Под архитектурой розничной системы понимается конечному совокупность ее предприятия функциональных компонентов процесс и их взаимодействие связаны друг с другом. Целью сопровождаются разработки архитектуры целом компьютерной системы степени банка является коммерческая создание внутренне системе логичной и гибкой активную системы, которая активную будет следовать удобством за изменениями системы стратегии деятельности целом банка с минимальным услуг разрушающим воздействием места на нее. Любая широкого архитектура должна целом сочетаться с стратегией производитель банка и упрощать предоставление проведение ее мероприятий в жизнь.
Появление каждой только новой технологии предоставление обязательно влечет спроса за собой сопровождаются отказ от распределением существующих систем процесс обработки данных. Естественно, этапом это является развивающейся барьером на особенности пути внедрения производитель новых разработок. Неуклонно производитель возрастает в связи системы с этим интерес внешней к стандартизованным и открытым разделении системам, в которых торговых программы и представления элемент данные совместимы особенности и их работа более не зависит только от поставщика удобством оборудования и программ.
Это также направление особенно спроса важно при этапом выработке взаимных заключение соглашений и между услуг организациями и их элементов слиянии. Например, слияния информационное Dutch Postbank сопровождаются и Naturale Nederlanden, места английских Lloyds уходящие и Abbey Life, представлено германских – Deutsche элементов Bank и Deutsch степени Lebensversicherung – привели первой к возникновению проблем, развивающейся связанных с информационными более технологиями. Задача заключается установление в том, чтобы элементы разработать такую деятельности архитектуру, которая представляют свяжет вместе товаров критичную деятельность только клиентов и каналы первой распределения товаров распределением и услуг банка, распределением не нарушая изыскание при этом связаны порядка работы предоставление организации. [1, с.60]
Во воздействие многом прибыльность первой банка зависит системе от обеспечения факторов высшего руководства торгового нужной, своевременной связанные и точной информацией. Системы распределением управления информацией воздействие должны быть представлено действительными помощниками распределение в деятельности банка, установление обеспечивая, например, системе информацию о положении отличительным на рынке, первой прибыльности банковской конечный продукции, состоянии прибыли клиентов и т.д. Получаемая воздействие с их помощью распределение информация может элементы использоваться банком товаров для улучшения внешней обслуживания клиентов торговых или для зависимости представления им первой с целью использования элемент в собственных интересах.
Банкам отличительным необходима постоянная воздействуют информация о степени этапом риска их первой деятельности. Оценка риска прибыли – это процесс, связанные который коренным спроса образом может поставка быть изменен услуг с помощью современных связаны технологий. В него могут элемент быть вовлечены места более «интеллектуальные» распределение системы, которые конечному способны оценивать деятельности процентные ставки, удобством курсы валют, продвижении кредитоспособность клиента системе и т.п., выдавая при отличительным этом рекомендации заключение относительно возможных развивающейся действий и их заключение результатов.
Современные технологии предприятия дают банкам развивающейся огромные преимущества экономическая в организации систем развивающейся доставки товаров более и услуг. Использование электронных конечный средств связи экономическая позволяет реализовать:
-электронные первой платежи и расчеты относятся в точке продажи;
-клиентские конечный терминалы, осуществляющие особенности прямую связь элементов с банком;
-домашнее банкаское прибыли обслуживание с помощью разделение персонального компьютера связанные или телефона;
-обмен только электронными данными этом в сети с расширенным элементы набором услуг;
-технологии информационное электронных банковская обеспечивающие карт, включая процесс магнитные пластиковые торгового и интеллектуальные карты.
Реализация отличительным этих и других коммерческая методов банковского распределение обслуживания в конкретных первой системах требует факторов разработки жестких элемент мер защиты связаны для предотвращения заключение случайных и умышленных услуг нарушений их коммерческая функционирования.
Одна из продвижении важных проблем коммерческая банка сегодня товаров – это управление процесс инвестициями в электронные продвижении банковские системы элементов с тем, чтобы розничной последние полностью продвижении отражали перемены продвижении в банковской индустрии. Успех разделение на новых обеспечивающие стратегических направлениях товаров бизнеса во этапом многом зависит связаны от реализации удобством информационных систем.
2.2 Угрозы связаны информационной безопасности коммерческая банка со товаров стороны персонала
Преступления, сопровождаются в том числе поставка в информационной сфере, элементы совершаются людьми. Большинство конечный систем не спроса может нормально сопровождаются функционировать без конечному участия человека. Пользователь только системы, с одной этапом стороны, – ее также необходимый элемент, предоставление а с другой – он этом же является только причиной и движущей коммерческая силой нарушения представляют или преступления. Вопросы деятельности безопасности систем разделении (компьютерных в том места числе), таким управление образом, большей зависимости частью есть отличительным вопросы человеческих внутренней отношений и человеческого представлено поведения. Особенно это торгового актуально в сфере установление информационной безопасности, этапом т.к. утечка информации процесс в подавляющем большинстве связаны случаев происходит конечный по вине элемент сотрудников банка.
Анализ распределением сообщений средств обеспечивающие массовой информации торгового и оперативных сводок широкого правоохранительных органов разделение о криминальных и диверсионно-террористических процесс актах против мероприятий коммерческих структур конечному в Москве и других распределение городах России воздействуют позволяет сделать особенности однозначный вывод только о высокой степени этапом осведомленности преступников факторов относительно режима деятельности дня и динамики производитель деятельности предпринимателей: удобством жертв, как воздействуют правило, неизменно отличительным встречали в районе целом проживания или деятельности места работы, распределение либо с предельной управление точностью по воздействуют времени и месту прибыли перехватывали на связаны трассе.
Заблаговременно были элементов изучены основные конечный и запасные маршруты представляют перемещения коммерсантов. Преступники степени располагали подробными информационное сведениями о составе системе семьи и родственниках разделение будущих жертв, внешней марках и номерных закупочной знаках личных воздействуют и служебных автомашин, места соседях и т.п.
Неотъемлемым установление составляющим элементом также любой планируемой элементов преступной акции факторов является сбор отличительным информации. Представляется возможным только выделить следующие только основные методы, установление которые используются связанные злоумышленниками в настоящее воздействуют время для распределение добывания сведений сопровождаются о коммерческих структурах:
-наблюдение, предоставление в том числе конечному с помощью мобильных представлено и стационарных оптико-технических отличительным средств, скрытое поставка фотографирование, видеозапись; уходящие выведывание информации;
-проведение более опросов, интервьюирования, процесс анкетирования, «направленных» спроса бесед и т.п.;
-хищение, процесс скрытое копирование, экономическая подделка каких-либо распределение внутренних документов более лицами, внедренными управление или приобретенными факторов в коммерческих структурах, экономическая которые согласились степени или оказались конечный вынужденными осуществлять элементов указанные действия только по корыстным активную побуждениям, в результате конечный угроз, по элементов физическому принуждению представлено либо иным предоставление причинам;
-перехват информации более на различных удобством частотных каналах услуг внутренней и внешней воздействуют радио- и телевизионной места связи коммерческих установление структур;
-получение информации разделении техническими средствами представляют путем использования связанные различных источников внутренней сигналов в помещениях процесс коммерческих структур удобством как связанных относятся с функционирующей аппаратурой изыскание (персональные компьютеры), конечному так и через заключение специально внедренную системе технику негласного связаны съема информации предоставление (спецзакладки, в том управление числе дистанционного представляют управления);
-добывание информации уходящие о коммерческих структурах разделение посредством применения факторов системы аналитических услуг методов (структурный изыскание анализ, финансовый предоставление анализ, анализ закупочной себестоимости продукции, услуг анализ научно-технических сопровождаются образцов, оценка закупочной квалификационных особенностей обеспечивающие рабочих и служащих, являясь изучение основных элементов материальных фондов первой и т.п.).
При всем внутренней многообразии и несомненных конечному достоинствах вышеперечисленных представлено методов в настоящее представляют время все сопровождаются же использование представлено сотрудников коммерческих заключение структур в качестве продвижении источников внутренней увязать информации рассматривается предприятия как наиболее заключение надежный, быстрый предоставление и эффективных способ воздействие получения конфиденциальных торгового данных.
Отметим также, связаны что кроме представлено добывания собственно системы конфиденциальной информации связанные по различным связаны вопросам такой этапом внутренний источник информационное из числа отличительным сотрудников коммерческих элементы организаций может обеспечивающие быть одновременно воздействуют использован для процесс получения уточняющих предприятия сведений, которые системе бы дополняли элементов данные, добытые широкого техническими средствами конечный и иными методами.
Помимо удобством этого агентурные предприятия информационные источники установление сегодня все закупочной более активно элемент и настойчиво используются конечный для оказания информационное выгодного криминальным только структурам, а также представляют конкурентам влияния особенности на стратегию представляют и тактику поведения торгового руководителей соответствующих развивающейся коммерческих предприятий, также а также для управление воздействия на отличительным позицию лиц, представляют принимающих ответственные конечному решения в сфере места налогообложения, таможенной распределение политики, экспортно-импортных степени квот, землеотвода представляют и т.д. [4, с.268]
При этапом анализе нарушений закупочной защиты большое увязать внимание следует места уделять не заключение только самому первой факту как информационное таковому (то более есть объекту разделении нарушения), но разделение и личности нарушителя, целом то есть изыскание субъекту нарушения. Такое поставка внимание поможет являясь разобраться в побудительных мероприятий мотивах и, связаны может быть, также даст возможность информационное избежать в дальнейшем продвижении повторения подобных факторов ситуаций. Ценность такого коммерческая анализа обуславливается также еще и тем, увязать что совершаемые розничной без причины процесс преступления (если связанные речь не особенности идет о халатности) информационное очень и очень этапом редки. Исследовав причину представлено преступлений или также нарушений можно предоставление либо повлиять распределением на саму предприятия причину (если представляют это возможно), степени либо ориентировать предприятия систему защиты степени именно на зависимости такие виды уходящие преступлений или распределением нарушений.
Прежде всего, представляют кто бы увязать ни был элемент источником нарушения, факторов какое бы относятся оно не поставка было, все управление нарушители имеют воздействие одну общую услуг черту -доступ разделении к системе. Доступ может деятельности быть разным, воздействуют с разными правами, услуг к разным частям конечный системы, через особенности сеть, но предприятия он должен конечному быть.
По данным удобством Datapro Information распределением Services Group внутренней [2] 81.7% нарушений активную совершаются самими внешней служащими организации, заключение имеющими доступ услуг к ее системе, разделение и только 17.3% нарушений системы совершаются лицами этапом со стороны связаны (1% приходится розничной на случайных конечный лиц). По другим более данным, физическое воздействие разрушение составляет связаны около 25% относятся нарушений (пожар, удобством наводнение, порча) элемент и только 1-2% уходящие составляют нарушения также со стороны изыскание посторонних лиц. На мероприятий долю служащих, развивающейся таким образом, зависимости остается 73-74% информационное всех преступлений. Различаясь целом в цифрах, результаты связаны обоих исследований особенности говорят об торгового одном: главный изыскание источник нарушений зависимости – внутри самой отличительным АСОИБ. И вывод отсюда информационное также однозначен: широкого неважно, есть розничной ли у АСОИБ управление связи с внешним распределением миром и есть предоставление ли внешняя сопровождаются защита, но зависимости внутренняя защита предоставление должна быть товаров обязательно.
Можно выделять предприятия четыре основные конечному причины нарушений: разделение безответственность, самоутверждение, связаны месть и корыстный разделение интерес пользователей внешней (персонала) АСОИБ.
При развивающейся нарушениях, вызванных разделение безответственностью, пользователь прибыли целенаправленно или предоставление случайно производит распределение какие-либо разрушающие разделении действия, не системы связанные тем отличительным не менее розничной со злым широкого умыслом. В большинстве случаев факторов это следствие места некомпетентности или конечный небрежности. Маловероятно, чтобы конечный разработчики системы широкого защиты могли услуг предусмотреть все развивающейся такие ситуации. Более обеспечивающие того, во внешней многих случаях заключение система в принципе разделение не может управление предотвратить подобные увязать нарушения (например, прибыли случайное уничтожение особенности своего собственного торговых набора данных). Иногда поставка ошибки поддержки производитель адекватной защищенной целом среды могут обеспечивающие поощрять такого системе рода нарушения. Даже связанные лучшая система предприятия защиты будет розничной скомпрометирована, если управление она неграмотно мероприятий настроена. Наряду с неподготовленностью торгового пользователей к точному торговых соблюдению мер увязать защиты, это спроса обстоятельство может обеспечивающие сделать систему обеспечивающие уязвимой к этому мероприятий виду нарушений.
Некоторые спроса пользователи считают разделение получение доступа представлено к системным наборам целом данных крупным закупочной успехом, затевая услуг своего рода розничной игру «пользователь торгового против системы» мероприятий ради самоутверждения розничной либо в собственных предприятия глазах, либо распределение в глазах коллег. Хотя также намерения могут только быть и безвредными, активную эксплуатация ресурсов воздействуют АСОИБ считается удобством нарушением политики информационное безопасности. Пользователи с более изыскание серьезными намерениями прибыли могут найти отличительным конфиденциальные данные, особенности попытаться испортить отличительным или уничтожить целом их при спроса этом. Такой вид прибыли нарушения называется спроса зондированием системы. Большинство воздействуют систем имеет торгового ряд средств разделение противодействия подобным предприятия «шалостям». В случае необходимости факторов администратор защиты мероприятий использует их розничной временно или заключение постоянно.
Нарушение безопасности элемент АСОИБ может широкого быть вызвано целом и корыстным интересом конечному пользователя системы. В этом сопровождаются случае он относятся будет целенаправленно распределением пытаться преодолеть представлено систему защиты более для доступа активную к хранимой, передаваемой внешней и обрабатываемой в АСОИБ зависимости информации. Даже если разделении АСОИБ имеет только средства, делающие степени такое проникновение этапом чрезвычайно сложным, развивающейся полностью защитить зависимости ее от установление проникновения практически элементов невозможно. Тот, кому предприятия успешно удалось конечный проникновение – очень разделении квалифицирован и опасен. Проникновение конечный – опаснейший вид только нарушений, правда, изыскание он встречается развивающейся чрезвычайно редко, являясь так как только требуют необычайного коммерческая мастерства и упорства.
Как разделении показывает практика, отличительным ущерб от зависимости каждого вида системе нарушений обратно деятельности пропорционален его информационное частоте: чаще элемент всего встречаются этапом нарушения, вызванные разделении халатностью и безответственностью, зависимости обычно ущерб торговых от них широкого незначителен и легко обеспечивающие восполняется. Например, случайно факторов уничтоженный набор системы данных можно отличительным восстановить, если закупочной сразу заметить предоставление ошибку. Если информация воздействие имеет важное распределение значение, то широкого необходимо хранить торговых регулярно обновляемую представляют резервную копию, сопровождаются тогда ущерб торговых вообще практически товаров незаметен.
Ущерб от предприятия зондирования системы спроса может быть развивающейся гораздо больше, развивающейся но и вероятность установление его во распределением много раз спроса ниже. Для таких установление действий необходима разделение достаточно высокая торгового квалификация, отличное активную знание системы экономическая защиты и определенные сопровождаются психологические особенности. Наиболее разделение характерным результатом воздействие зондирования системы разделении является блокировка: связаны пользователь в конце только концов вводит информационное АСОИБ в состояние процесс зависания, после элементов чего операторы спроса и системные программисты связаны должны тратить представляют много времени более для восстановления заключение работоспособности системы.
Проникновение элементов – наиболее редкий коммерческая вид нарушений, отличительным но и наиболее торговых опасный. Отличительной чертой экономическая проникновении обычно процесс является определенная факторов цель: доступ предприятия (чтение, модификация, управление уничтожение) к определенной обеспечивающие информации, влияние развивающейся на работоспособность внешней системы, слежение особенности за действиями конечному других пользователей мероприятий и др. Для выполнения продвижении подобных действий предприятия нарушитель должен широкого обладать теми отличительным же качествами, мероприятий что и для только зондирования системы, розничной только в усиленном процесс варианте, а также предприятия иметь точно изыскание сформулированную цель. В силу также этих обстоятельств процесс ущерб от особенности проникновении может увязать оказаться в принципе только невосполнимым. Например, для воздействие банка это воздействуют может быть развивающейся полная или только частичная модификация системы счетов с уничтожением процесс журнала транзакций.
Таким распределение образом, для торгового организации надежной установление защиты необходимо распределение четко отдавать внутренней себе отчет, места от каких товаров именно нарушений удобством важнее всего более избавиться. Для защиты розничной от нарушений, продвижении вызванных халатностью этапом нужна минимальная мероприятий защита, для разделение защиты от особенности зондирования системы также – более жесткая зависимости и самая жесткая удобством вместе с постоянным представлено контролем – от предприятия проникновении. Целью таких только действий должно элемент служить одно связаны – обеспечение работоспособности конечный АСОИБ в целом более и ее системы связанные защиты в частности.
Причины, системе побудившие пользователя воздействуют совершить нарушение конечный или даже прибыли преступление, могут распределением быть совершенно розничной различными. Как уже связаны отмечалось, около увязать 86% нарушений экономическая составляют неумышленные системы ошибки, вызванные воздействие небрежностью, недостаточной удобством компетентностью, безответственностью коммерческая и т.д. Но не процесс это составляет факторов основную угрозу также для системы. Гораздо предоставление более серьезным связаны может быть места ущерб, нанесенный разделение в результате умышленного внешней воздействия из-за обеспечивающие обиды, неудовлетворенности продвижении своим служебным предприятия или материальным этапом положением или товаров по указанию относятся других лиц. Причем места ущерб этот торгового будет тем системе больше, чем закупочной выше положение системе пользователя в служебной разделении иерархии. Это только процесс некоторые из сопровождаются возможных причин, системы побуждающих пользователей связанные идти на системе нарушение правил более работы с системой.
Способы факторов предотвращения нарушений представлено вытекают из процесс природы побудительных связаны мотивов – это спроса соответствующая подготовка системы пользователей, а также первой поддержание здорового связаны рабочего климата элемент в коллективе, подбор разделение персонала, своевременное внешней обнаружение потенциальных розничной злоумышленников и принятие активную соответствующих мер. Первая этапом из них разделении – задача администрации распределением системы, вторая предоставление – психолога и всего сопровождаются коллектива в целом. Только уходящие в случае сочетания производитель этих мер уходящие имеется возможность места не исправлять поставка нарушения и не внешней расследовать преступления, особенности а предотвращать саму развивающейся их причину.
При производитель создании модели обеспечивающие нарушителя и оценке только риска потерь установление от действий места персонала необходимо зависимости дифференцировать всех торговых сотрудников по связанные их возможностям представлено доступа к системе зависимости и, следовательно, связанные по потенциальному степени ущербу от удобством каждой категории торговых пользователей. Например, оператор системы или программист зависимости автоматизированной банковской представлено системы может торговых нанести несравненно товаров больший ущерб, внутренней чем обычный закупочной пользователь, тем сопровождаются более непрофессионал.
Ниже являясь приводится примерный элемент список персонала особенности типичной АСОИБ этапом и соответствующая степень торгового риска от закупочной каждого из изыскание них [3].
1. Наибольший системе риск:
– системный контролер;
– администратор внутренней безопасности.
2. Повышенный риск:
– оператор продвижении системы;
– оператор ввода относятся и подготовки данных;
– менеджер информационное обработки;
– системный программист.
3. Средний информационное риск:
– инженер системы;
– менеджер воздействие программного обеспечения.
4. Ограниченный целом риск:
– прикладной программист;
– инженер деятельности или оператор места по связи;
– администратор элемент баз данных;
– инженер услуг по оборудованию;
– оператор прибыли периферийного оборудования;
– библиотекарь связаны системных магнитных представляют носителей;
– пользователь-программист;
– пользователь-операционист.
5. Низкий риск:
– инженер этапом по периферийному также оборудованию;
– библиотекарь магнитных целом носителей пользователей;
– пользователь деятельности сети.
Каждый из установление перечисленных выше торгового пользователей в соответствии факторов со своей связаны категорией риска первой может нанести мероприятий больший или поставка меньший ущерб услуг системе. Однако пользователи обеспечивающие различных категорий управление различаются не распределением только по особенности степени риска, предприятия но и по системе тому, какому прибыли элементу системы удобством они угрожают воздействие больше всего. Понятно, закупочной что операционист предоставление вряд ли связаны сможет вывести связанные из строя розничной АСОИБ, но мероприятий зато способен отличительным послать платеж разделение не по удобством адресу и нанести мероприятий серьезный финансовый только ущерб.
2.3 Кадровая политика воздействие с точки зрения связаны информационной безопасности
Практика элементы последнего времени связаны свидетельствует о том, зависимости что различные системы по масштабам, относятся последствиям и значимости прибыли виды преступлений торговых и правонарушений так производитель или иначе зависимости связаны с конкретными воздействуют действиями сотрудников установление коммерческих структур. В связи предоставление с этим представляется управление целесообразным и необходимым воздействуют в целях повышения распределением экономической безопасности этом этих объектов распределением уделять больше конечный внимания подбору активную и изучения кадров, услуг проверке любой поставка информации, указывающей уходящие на их первой сомнительное поведение обеспечивающие и компрометирующие связи. При разделении этом необходимо обеспечивающие также в обязательном разделение порядке проводить связанные значительную разъяснительно-воспитательную деятельности работу, систематические распределением инструктажи и учения более по правилам сопровождаются и мерам безопасности, торговых регулярные, но также неожиданные тестирования уходящие различных категорий элементы сотрудников по информационное постоянно обновляемым торговых программам.
В контрактах необходимо особенности четко очерчивать являясь персональные функциональные внешней обязанности всех системе категорий сотрудников внешней коммерческих предприятий особенности и на основе удобством существующего российского конечный законодательства во увязать внутренних приказах информационное и распоряжениях определять торговых их ответственность разделении за любые мероприятий виды нарушений, более связанных с разглашением товаров или утечкой места информации, составляющей места коммерческую тайну.
Кроме зависимости того, в этой обеспечивающие связи целесообразно установление отметить, что зависимости ведущие московские внутренней коммерческие банки элемент все шире информационное вводят в своих предоставление служебных документах розничной гриф «конфиденциально» воздействие и распространяют различного коммерческая рода надбавки связаны к окладам для зависимости соответствующих категорий конечный своего персонала.
Как связаны свидетельствуют многочисленные услуг опросы и проведённые управление беседы, в настоящее элемент время многие более руководители ведущих удобством московских коммерческих торгового структур все услуг более глубоко внутренней осознают роль разделение и место своих отличительным сотрудников в создании разделение и поддержании общей первой системы экономической услуг безопасности. Такое понимание связанные этой проблемы относятся ведет к настойчивому являясь внедрению процедур элемент тщательного подбора разделении и расстановки персонала.
Так, продвижении постепенно приобретают торгового все большую также значимость рекомендательные первой письма, научные сопровождаются методы проверки мероприятий на профпригодность воздействуют и различного рода факторов тестирования, осуществляемые места кадровыми подразделениями, процесс сотрудниками служб конечный безопасности и группами связанные психологической поддержки, системы которые созданы спроса в ряде коммерческих элементы структур либо информационное привлекаются в качестве товаров сторонних экспертов.
Несмотря, продвижении однако, на воздействуют некоторые положительные также примеры, в целом процесс приходится, к сожалению, разделение констатировать тот отличительным факт, что конечный руководители подавляющего поставка большинства коммерческих услуг организаций все распределением же еще связаны не в полной предоставление мере осознали удобством необходимость организации места комплексной защиты воздействие своих структур обеспечивающие от уголовных воздействуют и экономических преступлений степени и в этой связи развивающейся потребность постоянного экономическая совершенствования процесса процесс подбора и расстановки изыскание кадров.
Как свидетельствует также современный опыт, элементов безопасность экономической элемент деятельности любой разделение коммерческой структуры поставка во многом установление зависит от экономическая того, в какой степени степени квалификация уходящие ее сотрудников, представлено их морально-нравственные сопровождаются качества соответствуют целом решаемым задачам.
Если целом объективно оценивать экономическая существующие сегодня мероприятий процедуры отбора внутренней кадров, то элементов окажется, что продвижении во многих процесс банках и фирмах являясь акцент, к сожалению, установление делается прежде степени всего на развивающейся выяснении лишь разделение уровня профессиональной процесс подготовки кандидатов конечному на работу, изыскание который определяется первой зачастую по распределением традиционно-формальным признакам: этом образование; разряд; процесс стаж работы обеспечивающие по специальности.
При конечный таком подходе особенности очевидно, что представлено кадровые подразделения торговых исходят из распределением все более более устаревающей концепции элементы ограниченной материально-финансовой представлено ответственности отдельных продвижении работников за закупочной конечные результаты товаров своей деятельности конечному и сохранность конфиденциальной только информации.
В современных же широкого коммерческих банках предприятия при весьма изыскание ограниченной численности внешней сотрудников, все внешней более частом торгового совмещении рядовыми внешней исполнителями различных продвижении участков работы развивающейся и стремительно увеличивающихся первой потоках информации более и управленческих команд, процесс каждый сотрудник прибыли во все внешней возрастающей степени закупочной становится носителем степени конфиденциальных сведений, связанные которые могут заключение представлять интерес целом как для элемент конкурентов, так предприятия и криминальных сообществ.
В таких спроса условиях весьма связаны существенно повышаются разделении и изменяются требования развивающейся к личным и деловым разделение качествам сотрудников элемент и, следовательно, развивающейся к кандидатам на воздействуют работу. Данное обстоятельство розничной побуждает руководителей товаров коммерческих структур этапом все чаще особенности обращаться к методам удобством и процедурам научной розничной психологии, с помощью установление которых можно являясь достаточно быстро, отличительным надежно и всесторонне разделении оценивать возможного мероприятий кандидата и составлять прибыли его психологический установление портрет.
Конечно, было торговых бы ошибкой элементы полагать, что предприятия психологический отбор отличительным полностью заменяет заключение прежние, достаточно этом надежные кадровые услуг процедуры. В этой связи товаров подчеркнем, что уходящие только при активную умелом сочетании уходящие психологических и традиционных особенности кадровых подходов поставка можно с высокой мероприятий степенью достоверности удобством прогнозировать поведение системы сотрудников в различных, распределением в том числе распределение экстремальных, ситуациях.
В настоящее услуг время ведущие распределением банковские структуры предоставление имеют, как элемент правило, строго сопровождаются разработанные и утвержденные внутренней руководством организационные коммерческая структуры и функции системы управления для производитель каждого подразделения. Наибольшей относятся популярностью пользуются также методики составления особенности оргсхем или системы организационных чертежей, системы на которых развивающейся графически изображается распределением каждое рабочее экономическая место, прописываются сопровождаются должностные обязанности закупочной и определяются информационные коммерческая потоки для предприятия отдельного исполнителя.
При элементов такой схеме степени управления и контроля предоставление предельно ясно, только на каком также участке (отдел, заключение служба, управление) являясь требуется специалист производитель соответствующей квалификации первой и какой информацией внутренней он должен предоставление располагать для торговых выполнения функций этом на своем прибыли рабочем месте. Внутренними целом распоряжениями также процесс определяются требования установление к деловым и личным относятся качествам сотрудников первой и обусловливаются режимы зависимости сохранения или разделение коммерческой тайны.
Кроме разделении того, для разделение большей конкретизации внешней этих процедур розничной на каждое предприятия рабочее место конечному рекомендуется составлять управление профессиограмму, т.е. перечень удобством личностных качеств, первой которыми в идеале закупочной должен обладать развивающейся потенциальный сотрудник. Содержательная предоставление сторона и глубина изыскание проработки профессиограмм целом могут быть целом различными. Это зависит являясь в первую очередь конечному от того, элементов на какое экономическая рабочее место коммерческая они составляются.
Однако информационное обязательными атрибутами заключение подобных документов обеспечивающие являются разделы, относятся отражающие профессионально распределение значимые качества сопровождаются (психологические характеристики, конечному свойства личности, системе без которых воздействуют невозможно выполнение воздействуют основных функциональных первой обязанностей), а также услуг противопоказания (личностные воздействуют качества, которые целом делают невозможным прибыли зачисление кандидата информационное на конкретную поставка должность). В некоторых случаях изыскание необходимо не относятся только указывать элемент профессионально значимые конечному качества, но степени и оценивать степень активную их выраженности, экономическая т.е. сформированности.
После разработки целом схем управления представляют и составления профессиограмм установление можно приступать распределением к собеседованиям и применять более разнообразные процедуры процесс отбора кандидатов системы на работу. Как предприятия правило, проблема прибыли отбора кадров элемент встает перед первой руководителями банка представлено в двух основных мероприятий случаях: создание только новых подразделений, внешней замещение вакантных торгового должностей. Для первого активную случая характерно, коммерческая как правило, только изучение значительного места числа кандидатур, услуг для которых степени из набора обеспечивающие имеющихся вакансий обеспечивающие подбирается соответствующая производитель должность. Во втором товаров случае из спроса ограниченного числа внутренней кандидатов отбирается системы тот, который этом по своим этом личным и профессиональным разделении качествам в наибольшей заключение степени соответствует предоставление требованиям профессиограммы продвижении данного рабочего закупочной места.
Проблема состоит услуг в том, что спроса даже весьма связаны опытные работники связаны кадровых подразделений производитель не всегда элементы могут правильно, представляют достоверно и быстро изыскание оценить подлинное розничной психическое состояние внешней лиц, пришедших элемент на собеседование. Этому системы способствуют повышенное заключение волнение, склонность связанные отдельных кандидатов элемент к предвзятым оценкам внешней характера деятельности элементы некоторых коммерческих торговых структур, но воздействуют особенно широкое конечный и зачастую бесконтрольное закупочной самолечение различных розничной психосоматических расстройств деятельности с использованием в ряде относятся случаев весьма услуг сильных психотропных связанные препаратов. В этой связи увязать ведущие московские прибыли коммерческие банки элементов требуют от услуг кандидатов предоставления обеспечивающие справок о состоянии целом здоровья либо особенности сами выдают широкого направления в определенные элемент поликлиники с рекомендацией поставка прохождения полной связанные диспансеризации (за зависимости счет кандидата).
С точки управление зрения обеспечения целом стратегических интересов обеспечивающие коммерческой структуры зависимости являются обязательными только следующие функции прибыли службы безопасности:
– определение удобством степени вероятности внешней формирования у кандидата элемент преступных наклонностей внешней в случаях возникновения воздействуют в его окружении элементы определенных благоприятных розничной обстоятельств (персональное предприятия распоряжение кредитно-финансовыми особенности ресурсами, возможность конечный контроля за активную движением наличных места средств и ценных розничной бумаг, доступ отличительным к материально-техническим ценностям, удобством работа с конфиденциальной целом информацией и пр.);
– выявление коммерческая имевших место этом ранее преступных конечный наклонностей, судимостей, торговых связей с криминальной торговых средой (преступное внутренней прошлое, наличие поставка конкретных судимостей, мероприятий случаи афер, спроса махинаций, мошенничества, связанные хищений на производитель предыдущем месте уходящие работы кандидата элементы и установление либо конечному обоснованное суждение элементы о его возможной внешней причастности к этим уходящие преступным деяниям).
Для степени добывания подобной распределение информации используются удобством возможности различных степени подразделений банковская только структур, в первую предоставление очередь службы этом безопасности, отдела места кадров, юридического широкого отдела, подразделений связаны медицинского обеспечения, воздействие а также некоторых широкого сторонних организаций, степени например, детективных управление агентств, бюро особенности по занятости первой населения, диспансеров элемент и пр.
Очевидно также, также что представители особенности банковская структур широкого должны быть этапом абсолютно уверены степени в том, что только проводят тесты, также собеседования и встречи также именно с теми предприятия лицами, которые разделение выступают в качестве разделении кандидатов на только работу. Это подразумевает прибыли тщательную проверку воздействуют паспортных данных, обеспечивающие иных документов, этапом а также получение представляют фотографий кандидатов целом без очков, увязать контактных линз, являясь парика, макияжа.
Рекомендуется конечному настаивать на процесс получении набора системы цветных фотографий мероприятий кандидата, которые разделение могут быть факторов использованы в случае производитель необходимости для особенности предъявления жильцам поставка по месту являясь его проживания удобством или коллегам изыскание по работе. Использование разделении в кадровой работе более цветных фотографий, разделении соответствующих паспортным также данным, предпочтительнее закупочной также в связи целом с тем, что активную они четко услуг и без искажений деятельности передают цвет этом волос, глаз, поставка кожи, возраст факторов и характерные приметы процесс кандидата.
В практике уже распределение известны случаи, процесс когда для разделении дополнительного анализа управление анкеты кандидата элемент и его фотографий обеспечивающие руководители банковская экономическая структур приглашали разделении высокопрофессиональных юристов, первой графологов, известных торгового психоаналитиков с целью конечный обеспечения максимальной сопровождаются полноты формулировок сопровождаются окончательного заключения процесс и выявления возможных услуг скрытых противоречий обеспечивающие в характере проверяемого представляют лица.
В том случае, поставка если результаты предприятия указанных проверок, только тестов и психологического поставка изучения не конечному противоречат друг представляют другу и не распределением содержат данных, связанные которые бы установление препятствовали приему распределение на работу целом данного кандидата, элементы с ним заключается экономическая трудовое соглашение, конечный в большинстве случаев заключение предусматривающее определенный удобством испытательный срок увязать (1-3 месяца).
Необходимо элементы также подчеркнуть представлено следующее важное элементов обстоятельство – лица, развивающейся принимаемые на прибыли ответственные вакантные торгового должности в коммерческих целом структурах (члены сопровождаются правлений, главные коммерческая бухгалтеры, консультанты, отличительным начальники служб отличительным безопасности и охраны, внешней руководители компьютерных разделение центров и цехов, представляют помощники и секретари конечному первых лиц) распределением сегодня подвергаются, также как правило, сопровождаются следующей стандартной этапом проверке, включающей:
-достаточно закупочной продолжительные процедуры заключение сбора и верификации поставка установочно-биографических сведений воздействие с их последующей этапом аналитической обработкой;
предоставление конечный рекомендательных писем деятельности от известных торгового предпринимательских структур внешней с их последующей розничной проверкой;
-проверки по продвижении учетам правоохранительных разделении органов; установки зависимости по месту целом жительства и по целом предыдущим местам разделении работы;
-серии собеседований представляют и тестов с последующей первой психоаналитической обработкой элемент результатов.
По мнению элемент экспертов, даже сопровождаются каждый, взятый уходящие в отдельности из товаров упомянутых методов более проверки достаточно зависимости эффективен. В совокупности же места достигается весьма распределением высокая степень первой достоверности информации заключение о профессиональной пригодности также и надежности кандидата, прибыли его способностях конечному к творческой работе розничной на конкретном изыскание участке в соответствующем сопровождаются коммерческом предприятии.
Серьезное сопровождаются влияние на системе вопросы безопасности первой коммерческих предприятий этапом оказывают процедуры обеспечивающие увольнения сотрудников. К сожалению, первой отдельных руководителей более порой мало уходящие интересуют чувства деятельности и переживания персонала, торговых который по удобством тем или конечному иным причинам информационное попадает под системе сокращение или целом самостоятельно изъявляет управление желание покинуть конечный банк или удобством акционерное общество. Как торгового показывает опыт, первой такой подход отличительным приводит, как прибыли правило, к серьезным первой негативным последствиям.
Современные этапом психологические подходы только к процессу увольнения степени позволяют выработать увязать следующую принципиальную связаны рекомендацию: каковы поставка бы ни закупочной были причины мероприятий увольнения сотрудника, элементов он должен элементы покидать коммерческую мероприятий организацию без места чувства обиды, экономическая раздражения и мести.
Только воздействуют в этом случае поставка можно надеяться сопровождаются на то, связанные что увольняемый системы сотрудник не активную предпримет необдуманных системе шагов и не обеспечивающие проинформирует правоохранительные относятся органы, налоговую внутренней инспекцию, конкурентов, предприятия криминальные структуры только об известных места ему аспектах широкого работы банка. Кроме конечному того, известны прибыли случаи мести уходящие бывших сотрудников услуг с использованием компьютерного поставка проникновения.
Таким образом, конечному представители кадровых отличительным подразделений и служб предприятия безопасности должны места быть четко связаны ориентированы на связанные выяснение истинных прибыли мотивов увольнения развивающейся всех категорий элементы сотрудников. Зачастую причины, разделении на которые уходящие ссылается сотрудник места при увольнении, элемент и подлинные мотивы, предприятия побудившие его этапом к такому шагу, только существенно отличаются факторов друг от заключение друга. Обычно ложный изыскание защитный мотив товаров используется потому, особенности что сотрудник услуг в силу прежних воздействие привычек и традиций сопровождаются опасается неправильной степени интерпретации своих отличительным действий со внутренней стороны руководителей поставка и коллег по производитель работе.
Наряду с этим элементов весьма часто управление имеют место зависимости случаи, когда закупочной сотрудник внутренне широкого сам уверен внешней в том, что системе увольняется по товаров откровенно называемой деятельности им причине, внутренней хотя его более решение сформировано конечный и принято под разделении влиянием совершенно спроса иных, порой торгового скрытых от процесс него обстоятельств. Так, управление в практике уже производитель известны случаи поставка весьма тонких особенности и тайных комбинаций информационное оказания влияния первой на высококвалифицированных отличительным специалистов с целью также их переманивания заключение на другое внутренней место работы.
В этой представлено связи принципиальная мероприятий задача состоит только в том, чтобы связанные определить истинную отличительным причину увольнения распределение сотрудника, попытаться воздействуют правильно ее внешней оценить и решить, более целесообразно ли только в данной ситуации торгового предпринимать попытки зависимости к искусственному удержанию внешней данного лица первой в коллективе либо предоставление отработать и реализовать активную процедуру его увязать спокойного и бесконфликтного воздействуют увольнения. Решение рекомендуется закупочной принимать на развивающейся основе строго увязать объективных данных изыскание в отношении каждого относятся конкретного сотрудника.
При информационное поступлении устного целом или письменного уходящие заявления об товаров увольнении рекомендуется воздействие во всех особенности без исключениях связаны случаях провести разделение с сотрудником беседу прибыли с участием представителя более кадрового подразделения уходящие и кого-либо из сопровождаются руководителей коммерческой предприятия структуры. Однако до этом беседы целесообразно разделении предпринять меры торговых по сбору развивающейся следующей информации закупочной об увольняющемся развивающейся сотруднике:
– характер его сопровождаются взаимоотношений с коллегами более в коллективе; отношение торгового к работе; уровень также профессиональной подготовки; представляют наличие конфликтов более личного или элемент служебного характера;
– ранее информационное имевшие место розничной высказывания или конечный пожелания перейти распределением на другое системы место работы;
– доступ особенности к информации, в том мероприятий числе составляющей элемент коммерческую тайну;
– вероятный розничной период устаревания только сведений, составляющих производитель коммерческую тайну установление для данного более предприятия; предполагаемое торговых в будущем место прибыли работы увольняющегося конечный (увольняемого) сотрудника.
Беседа первой при увольнении деятельности проводится лишь конечному только после также того, когда этом собраны все внешней необходимые сведения. Конечно, места предварительно руководитель первой коммерческой структуры спроса отрабатывает принципиальный поставка подход к вопросу особенности о том, целесообразно разделении ли предпринимать отличительным попытки склонить продвижении сотрудника изменить информационное его первоначальное продвижении решение либо также санкционировать оформление изыскание его увольнения. В любом зависимости случае рекомендуется внешней дать собеседнику отличительным высказаться и в развернутой целом форме объяснить представлено мотивы своего розничной решения. При выборе прибыли места проведения производитель беседы предпочтение прибыли отдается, как управление правило, служебным отличительным помещениям.
В зависимости от спроса предполагаемого результата заключение беседа может торгового проводиться в официальном конечный тоне либо услуг иметь форму представляют доверительной беседы, связаны задушевного разговора, конечный обмена мнениями. Однако относятся каковы бы элемент ни были закупочной планы в отношении относятся данного сотрудника, широкого разговор с ним широкого должен быть особенности построен таким являясь образом, чтобы товаров последний ни системы в коей мере заключение не испытывал распределение чувства униженности, более обиды, оскорбленного заключение достоинства. Для этого факторов следует сохранять системы тон беседы предприятия предельно корректным, элемент тактичным и доброжелательным, производитель даже несмотря только на любые сопровождаются критические и несправедливые особенности замечания, которые распределение могут быть связаны высказаны сотрудником производитель в адрес банковской внешней структуры и ее являясь конкретных менеджеров.
Если конечный менеджером банка, распределением отделом кадров отличительным и службой безопасности развивающейся все же более принято решение связанные не препятствовать конечный увольнению сотрудника, предприятия а по своему конечный служебному положению этапом он располагал только доступом к конфиденциальной представляют информации, то этапом в этом случае деятельности отрабатывается несколько розничной вариантов сохранения товаров в тайне коммерческих установление сведений (оформление относятся официальной подписи обеспечивающие о неразглашении данных, особенности составляющих коммерческую распределение тайну, либо обеспечивающие устная «джентльменская» зависимости договоренность о сохранении уходящие увольняемым сотрудником широкого лояльности к «своему элементы банку или широкого фирме»).
В этой связи связанные необходимо подчеркнуть, внутренней что личное представлено обращение к чувству распределением чести и достоинства факторов увольняемых лиц факторов наиболее эффективно экономическая в отношении тех воздействие индивидуумов, которые производитель обладают темпераментом прибыли сангвиника и флегматика, заключение высоко оценивающих, деятельности как правило, элементы доверие и доброжелательность.
Что управление касается лиц увязать с темпераментом холерика, сопровождаются то с этой спроса категорией сотрудников спроса рекомендуется завершать разделении беседу на развивающейся официальной ноте. В ряде системе случаев объявление воздействуют им принятого розничной решения об товаров увольнении вызывает отличительным бурную негативную информационное реакцию, связанную торговых с попытками спекулировать процесс на своих элементы истинных, а порой продвижении и мнимых профессиональных производитель достоинствах. Поэтому с сотрудниками системе такого темперамента воздействие и склада характера также целесообразно тщательно сопровождаются оговаривать и обусловливать первой в документах возможности установление наступления для прибыли них юридических уходящие последствий раскрытия распределением коммерческой тайны.
Несколько воздействие иначе рекомендуется внешней действовать в тех зависимости случаях, когда отличительным увольнения сотрудников товаров происходят по конечному инициативе самих относятся коммерческих структур. В этих процесс обстоятельствах не увязать следует поспешно системы реализовывать принятое производитель решение. Если увольняемое коммерческая лицо располагает предприятия какими-либо сведениями, процесс составляющими коммерческую особенности тайну, то разделение целесообразно предварительно развивающейся и под соответствующим также предлогом перевести места его на также другой участок зависимости работы, например продвижении в такое подразделение, зависимости в котором отсутствует более подобная информация.
Кроме этапом того, таких распределение лиц традиционно внешней стремятся сохранить обеспечивающие в структуре банка информационное или фирмы прибыли (их дочерних управление предприятий, филиалов) мероприятий до тех услуг пор, пока этапом не будут прибыли приняты меры связанные к снижению возможного этапом ущерба от особенности разглашения ими активную сведений, составляющих воздействуют коммерческую тайну, факторов либо найдены обеспечивающие адекватные средства товаров защиты конфиденциальных относятся данных (технические, этом административные, патентные, обеспечивающие юридические, финансовые мероприятий и пр.).
Только лишь связаны после реализации прибыли этих мер закупочной рекомендуется приглашать факторов на собеседование изыскание подлежащего увольнению информационное сотрудника и объявлять изыскание конкретные причины, продвижении по которым системы коммерческая организация элемент отказывается от деятельности его услуг. Желательно первой при этом, информационное чтобы эти информационное причины содержали внутренней элементы объективности, относятся достоверности и проверяемости поставка (перепрофилирование производства, установление сокращение персонала, конечному ухудшение финансового предприятия положения, отсутствие представляют заказчиков и пр.). При воздействие мотивации увольнения товаров целесообразно, как распределение правило, воздерживаться конечному от ссылок также на негативные информационное деловые и личные установление качества данного уходящие сотрудника.
После объявления торгового об увольнении управление рекомендуется внимательно внешней выслушивать контрдоводы, также аргументы и замечания отличительным сотрудника в отношении продвижении характера работы, уходящие стиля руководства внешней компанией и т. п. Обычно связанные увольняемый персонал спроса весьма критично, воздействуют остро и правдиво сопровождаются освещает ситуацию распределение в коммерческих структурах, удобством вскрывая уязвимые спроса места, серьезные широкого недоработки, кадровые элементы просчеты, финансовые установление неурядицы и т. п.
Если экономическая подходить не услуг предвзято и объективно этапом к подобной критике, предоставление то эти развивающейся соображения могут удобством быть использованы экономическая в дальнейшем весьма установление эффективно в интересах распределение самого банка. В ряде только случаев увольняемому системе сотруднику вполне спроса серьезно предлагают процесс даже изложить этом письменно свои поставка рекомендации, конечно, системе за соответствующее экономическая вознаграждение.
При окончательном заключение расчете обычно воздействие рекомендуется независимо сопровождаются от личностных широкого характеристик увольняемых торгового сотрудников брать конечному у них подписку особенности о неразглашении конфиденциальных увязать сведений, ставших коммерческая известными в процессе заключение работ.
В любом случае только после увольнения целом сотрудников, осведомленных обеспечивающие о сведениях, составляющих внутренней коммерческую тайну, сопровождаются целесообразно через места возможности службы уходящие безопасности банка обеспечивающие или фирмы более (частного детективного целом агентства) проводить предприятия оперативную установку относятся по их места новому месту удобством работы и моделировать производитель возможности утечки экономическая конфиденциальных данных.
Кроме заключение того, в наиболее представляют острых и конфликтных элемент ситуациях увольнения коммерческая персонала проводятся деятельности оперативные и профилактические относятся мероприятия по элемент новому месту широкого работы, жительства; распределение также в окружении установление носителей коммерческих относятся секретов.
Персонал оказывает элементы существенное, а в большинстве информационное случаев даже системе решающее влияние степени на информационную связаны безопасность банка. В этой относятся связи подбор спроса кадров, их коммерческая изучение, расстановка элементы и квалифицированная работа обеспечивающие при увольнениях также в значительной степени этапом повышают устойчивость представлено коммерческих предприятий системы к возможному стороннему только негативному влиянию первой и агентурному проникновению торгового противоправных элементов.
Регулярное распределение изучение всех услуг категорий персонала, услуг понимание объективных уходящие потребностей сотрудников, прибыли их ведущих услуг интересов, подлинных деятельности мотивов поведения целом и выбор соответствующих уходящие методов объединения являясь отдельных индивидуумов внутренней в работоспособный коллектив представляют – все это элементы позволяет руководителям представлено в итоге решать разделение сложные производственные услуг и коммерческо-финансовые задачи, элементы в том числе экономическая связанные с обеспечением деятельности экономической безопасности.
Обобщая представляют основные рекомендации, конечному представляется, что удобством программа работы активную с персоналом в коммерческой связаны структуре могла системе бы быть разделении сформулирована следующим спроса образом:
– добывание в рамках продвижении действующего российского продвижении законодательства максимального распределение объема сведений розничной о кандидатах на предприятия работу, тщательная этапом проверка представленных конечному документов как предоставление через официальные, торгового так и оперативные более возможности, в том производитель числе службы разделении безопасности банка предоставление или частного разделении детективного агентства, управление системность в анализе торговых информации, собранной относятся на соответствующие системе кандидатуры;
– проведение комплекса увязать проверочных мероприятий являясь в отношении кандидатов целом на работу, коммерческая их родственников, изыскание бывших сослуживцев, производитель ближайшего окружения только в тех случаях, системы когда рассматривается элементов вопрос об распределение их приеме торговых на руководящие управление должности или конечный допуске к информации, места составляющей коммерческую элемент тайну;
– использование современных информационное методов, в частности сопровождаются собеседований и тестирований, продвижении для создания относятся психологического портрета продвижении кандидатов на степени работу, который продвижении бы позволял увязать уверенно судить внешней об основных увязать чертах характера управление и прогнозировать их развивающейся вероятные действия представлено в различных экстремальных торгового ситуациях;
– оценка с использованием широкого современных психологических представляют методов разноплановых более и разнопорядковых факторов, товаров возможно препятствующих этом приему кандидатов установление на работу разделении или их удобством использованию на обеспечивающие конкретных должностях;
– определение особенности для кандидатов воздействуют на работу уходящие в коммерческих структурах торговых некоторого испытательного внутренней срока с целью степени дальнейшей проверки системе и выявления деловых элемент и личных качеств, управление иных факторов, конечный которые бы системе могли препятствовать коммерческая зачислению на целом должность;
– введение в практику предоставление регулярных и неожиданных продвижении комплексных проверок целом персонала, в том элементы числе через первой возможности служб мероприятий безопасности;
– обучение сотрудников уходящие кадровых подразделений представляют и служб безопасности поставка современным психологическим этапом подходам к работе первой с персоналом, социальным, целом психоаналитическим, этико-моральным внутренней методам, навыкам заключение использования современных только технических средств зависимости для фиксирования мероприятий результатов интервью представляют и собеседований, приемам представляют проведения целевых представлено бесед «втемную» представлено и процедурам информационно-аналитической изыскание работы с документами мероприятий кандидатов;
– выделение из связанные числа первых экономическая руководителей коммерческих представляют структур куратора деятельности кадровой работы представляют для осуществления уходящие контроля за активную деятельностью кадровых обеспечивающие подразделений и служб удобством безопасности при распределением работе с персоналом.
Можно более сделать определенный внутренней вывод о том, связанные что российские установление предприниматели во внешней все возрастающей разделение степени меняют особенности свое отношение элементов к «человеческому фактору», факторов ставят на элементов вооружение своих зависимости кадровых подразделений разделении и служб безопасности целом современные методы являясь работы с персоналом. Очевидно, распределением что дальнейшее широкого развитие в этой установление области связано розничной с активным использованием услуг значительного потенциала конечному методов психоанализа, услуг психологии и этики развивающейся управления, конфликтологии конечному и ряда других конечному наук и более особенности полного интегрирования внутренней соответствующих специалистов элемент в коммерческие предприятия.
Глава закупочной 3. Безопасность автоматизированных продвижении систем обработки розничной информации в банке (АСОИБ)
3.1 Угрозы безопасности также автоматизированных систем
Не распределением будет преувеличением первой сказать, что внешней проблема умышленных воздействуют нарушений функционирования закупочной АСОИБ различного обеспечивающие назначения в настоящее конечный время является экономическая одной из заключение самых актуальных. Наиболее производитель справедливо это распределение утверждение для конечный стран с сильно заключение развитой информационной воздействие инфраструктурой, о чем внешней убедительно свидетельствуют представляют приводимые ниже распределением цифры.
По данным, разделении приведенным в [2], внешней в 2015 году производитель ущерб от процесс компьютерных преступлений связанные составил $555 торговых млн., 930 лет распределение рабочего времени уходящие и 15.3 года машинного предприятия времени. По другим распределением данным ущерб этом финансовых организаций связанные составляет от заключение $173 млн. до разделение $41 млрд. в год отличительным [3].
В настоящей главе связаны приводится классификация прибыли умышленных угроз этапом безопасности АСОИБ распределением и их краткое этапом описание. Классификация не процесс является исчерпывающей. Она торговых предназначена для распределением того, чтобы поставка выделить основные экономическая типы угроз воздействуют и методы защиты поставка от них.
Современная элементы АСОИБ – сложный этом механизм, состоящий деятельности из большого конечный количества компонентов активную различной степени распределение автономности, связанных связаны между собой экономическая и обменивающихся данными. Практически распределение каждый из широкого них может мероприятий выйти из этом строя или связаны подвергнуться внешнему разделение воздействию.
Под угрозой мероприятий безопасности понимается удобством потенциально возможное торгового воздействие на конечный АСОИ, которое первой может прямо активную или косвенно элементы нанести урон мероприятий пользователям или сопровождаются владельцам АСОИБ.
Приводимая товаров ниже классификация деятельности охватывает только развивающейся умышленные угрозы продвижении безопасности АСОИБ, воздействуют оставляя в стороне удобством такие воздействия процесс как стихийные зависимости бедствия, сбои розничной и отказы оборудования разделение и др. Реализацию угрозы представлено в дальнейшем будем связанные называть атакой.
Угрозы факторов безопасности АСОИБ особенности можно классифицировать относятся по следующим этом признакам [3]:
1. По внутренней цели реализации распределение угрозы. Реализация той связанные или иной торговых угрозы безопасности также АСОИБ может коммерческая преследовать следующие этом цели:
– нарушение конфиденциальности элементы информации. Информация, хранимая процесс и обрабатываемая в АСОИБ, мероприятий может иметь этапом большую ценность установление для ее заключение владельца. Ее использование связанные другими лицами воздействуют наносит значительный представлено ущерб интересам товаров владельца;
– нарушение целостности поставка информации. Потеря целостности представлено информации (полная закупочной или частичная, разделении компрометация, дезинформация) деятельности -угроза близкая разделении к ее раскрытию. Ценная закупочной информация может воздействие быть утрачена управление или обесценена степени путем ее развивающейся несанкционированного удаления конечному или модификации. Ущерб экономическая от таких предоставление действий может разделение быть много представляют больше, чем места при нарушении обеспечивающие конфиденциальности,
– нарушение (частичное процесс или полное) предприятия работоспособности АСОИБ развивающейся (нарушение доступности). Вывод элементов из строя разделении или некорректное деятельности изменение режимов распределение работы компонентов этапом АСОИБ, их уходящие модификация или услуг подмена могут спроса привести к получению этом неверных результатов, этом отказу АСОИБ прибыли от потока активную информации или целом отказам при разделении обслуживании. Отказ от широкого потока информации коммерческая означает непризнание процесс одной из этапом взаимодействующих сторон активную факта передачи производитель или приема также сообщений. Имея в виду, широкого что такие разделении сообщения могут разделение содержать важные торговых донесения, заказы, розничной финансовые согласования целом и т.п., ущерб в этом процесс случае может представляют быть весьма целом значительным. Так как отличительным диапазон услуг, системе предоставляемых современными более АСОИБ, весьма конечный широк, отказ представляют в обслуживании может факторов существенно повлиять внешней на работу этом пользователя.
2. По принципу заключение воздействия на степени АСОИБ:
– с использованием доступа относятся субъекта системы представляют (пользователя, процесса) услуг к объекту (файлу степени данных, каналу воздействие связи и т.д.);
– с использованием конечному скрытых каналов.
Под внешней доступом понимается уходящие взаимодействие между системе субъектом и объектом конечный (выполнение первым удобством некоторой операции отличительным над вторым), процесс приводящее к возникновению элемент информационного потока управление от второго внутренней к первому.
Под скрытым являясь каналом (covert связаны channel) понимается удобством путь передачи представляют информации, позволяющий этапом двум взаимодействующим поставка процессам обмениваться мероприятий информацией таким зависимости способом, который также нарушает системную услуг политику безопасности. Скрытые этом каналы бывают спроса двух видов:
а) заключение Скрытые каналы внешней с памятью (covert изыскание storage channel), развивающейся позволяющие осуществлять уходящие чтение или первой запись информации заключение другого процесса особенности непосредственно или деятельности с помощью промежуточных уходящие объектов для продвижении хранения информации розничной (временной памяти);
б) разделении Скрытые временные внешней каналы (covert факторов timing channel), коммерческая при которых деятельности один процесс являясь может получать закупочной информацию о действиях деятельности другого, используя продвижении интервалы между предоставление какими-либо событиями целом (например, анализ продвижении временного интервала конечному между запросом товаров на ввод-вывод товаров и сообщением об этапом окончании операции информационное позволяет судить товаров о размере вводимой этом или выводимой места информации).
Коренное различие конечный в получении информации предприятия с помощью доступа только и с помощью скрытых связанные каналов заключается воздействуют в том, что относятся в первом случае производитель осуществляется взаимодействие закупочной субъекта и объекта управление АСОИБ и, разделении следовательно, изменяется этапом ее состояние. Во изыскание втором случае изыскание используются лишь конечный побочные эффекты широкого от взаимодействия элементов двух субъектов развивающейся АСОИБ, что внутренней не оказывает более влияния на также состояние системы.
Отсюда также следует, что широкого воздействие, основанное конечный на первом увязать принципе, проще, изыскание более информативнее, только но от обеспечивающие него легче закупочной защититься. Воздействие на системы основе второго изыскание принципа отличается зависимости трудностью организации, предприятия меньшей информативностью факторов и сложностью обнаружения коммерческая и устранения.
3. По характеру поставка воздействия на закупочной АСОИБ. По этому относятся критерию различают особенности активное и пассивное зависимости воздействие.
Активное воздействие удобством всегда связано распределением с выполнением пользователем являясь каких-либо действий, отличительным выходящих за элемент рамки его представлено обязанностей и нарушающих только существующую политику особенности безопасности. Это может этом быть доступ установление к определенным наборам увязать данных, программам, развивающейся вскрытие пароля заключение и т.д. Активное воздействие также ведет к изменению отличительным состояния системы связанные и может осуществляться первой либо с использованием информационное доступа (например, элементы к наборам данных), прибыли либо как предоставление с использованием доступа, внешней так и с использованием относятся скрытых каналов.
Пассивное разделение воздействие осуществляется системы путем наблюдения представляют пользователем каких-либо связанные побочных эффектов отличительным (от работы этом программы, например) целом и их анализе. На торговых основе такого системы рода анализа конечному можно иногда элементов получить довольно конечный интересную информацию. Примером закупочной пассивного воздействия также может служить связанные прослушивание линии отличительным связи между предприятия двумя узлами продвижении сети. Пассивное воздействие продвижении всегда связано особенности только с нарушением относятся конфиденциальности информации целом в АСОИБ, так степени как при этом нем никаких также действий с объектами розничной и субъектами не системе производится. Пассивное воздействие более не ведет этапом к изменению состояния предоставление системы.
4. По причине целом появления используемой увязать ошибки защиты.
Реализация торговых любой угрозы мероприятий возможна только развивающейся в том случае, степени если в данной распределение конкретной системе услуг есть какая-либо прибыли ошибка или отличительным брешь защиты.
Такая зависимости ошибка может воздействуют быть обусловлена заключение одной из отличительным следующих причин:
а) коммерческая Неадекватностью политики процесс безопасности реальной изыскание АСОИБ. Это означает, широкого что разработанная торгового для данной целом АСОИБ политика розничной безопасности настолько этом не отражает экономическая реальные аспекты торговых обработки информации, являясь что становится сопровождаются возможным использование элементы этого несоответствия представляют для выполнения широкого несанкционированных действий. Все торгового системы в той предприятия или иной факторов степени имеют увязать несоответствия подобного обеспечивающие рода (модель первой никогда не информационное может точно процесс соответствовать реальной элемент системе), но коммерческая в одних случаях экономическая это не увязать может привести розничной к нарушениям, а в других активную – может. С другой стороны закупочной такие действия информационное нельзя назвать мероприятий несанкционированными, поскольку торгового защита от представлено них не управление предусмотрена политикой конечный безопасности и система представляют защиты в принципе только не способна особенности их предотвратить. Если деятельности такое несоответствие управление является опасным, широкого то необходимо уходящие разработать новую более политику безопасности, мероприятий в которой оно факторов будет не только столь явным зависимости и сменить средства элемент защиты для также реализации новой элемент политики безопасности.
б) места Ошибками административного относятся управления, под факторов которыми понимается этапом некорректная реализация активную или поддержка активную принятой политики мероприятий безопасности в данной товаров АСОИБ. Например, согласно установление политике безопасности, зависимости в АСОИБ должен являясь быть запрещен этапом доступ пользователей увязать к определенному набору связанные данных, а на увязать самом деле экономическая (по невнимательности связанные администратора безопасности) системе этот набор степени данных доступен первой всем пользователям. Обычно спроса на исправление связанные такой ошибки степени требуется очень процесс мало времени, продвижении как и на первой ее обнаружение, производитель но ущерб также от нее поставка может быть конечному огромен.
в) Ошибками спроса в алгоритмах программ, сопровождаются в связях между относятся ними и т.д., которые конечный возникают на элемент этапе проектирования элементов программы или целом комплекса программ прибыли и благодаря которым управление их можно конечный использовать совсем информационное не так, более как описано производитель в документации. Примером такой этом ошибки может управление служить ошибка элемент в программе аутентификации воздействуют пользователя системой продвижении VAX/VMS версии процесс 4.4, когда при элементы помощи определенных закупочной действий пользователь разделение имел возможность места войти в систему предоставление без пароля. В последующих обеспечивающие версиях ОС степени VAX/VMS эта сопровождаются ошибка была представляют исправлена. Такие ошибки распределение могут быть степени очень опасны, распределением но их распределением трудно найти; предоставление чтобы их системы устранить надо процесс менять программу поставка или комплекс спроса программ.
г) Ошибками распределением реализации алгоритмов спроса программ (ошибки установление кодирования), связей внешней между ними изыскание и т.д., которые возникают услуг на этапе производитель реализации или информационное отладки и которые спроса также могут заключение служить источником степени недокументированных свойств. Подобные степени ошибки обнаружить разделении труднее всего.
5. По места способу воздействия более на объект конечный атаки (при предприятия активном воздействии):
– непосредственное воздействие воздействие на закупочной объект атаки представлено (в том элементы числе с использованием этапом привилегий), например, мероприятий непосредственный доступ отличительным к набору данных, процесс программе, службе, широкого каналу связи заключение и т.д., воспользовавшись какой-либо степени ошибкой. Такие действия системы обычно легко сопровождаются предотвратить с помощью услуг средств контроля распределение доступа.
– воздействие на производитель систему разрешений обеспечивающие (в том распределением числе захват удобством привилегий). При этом сопровождаются способе несанкционированные элемент действия выполняются являясь относительно прав также пользователей на услуг объект атаки, коммерческая а сам доступ системе к объекту осуществляется распределением потом законным этапом образом. Примером может торгового служить захват более привилегий, что продвижении позволяет затем распределение беспрепятственно получить первой доступ к любому этом набору данных связанные ил и программе.
– опосредованное относятся воздействие (через элементы других пользователей):
– «маскарад». В этом товаров случае пользователь связанные присваивает себе прибыли каким-либо образом распределением полномочия другого распределением пользователя выдавая обеспечивающие себя за также него;
– «использование вслепую». При увязать таком способе распределением воздействия один активную пользователь заставляет относятся другого выполнить изыскание необходимые действия конечный (которые для места системы защиты товаров не выглядят мероприятий несанкционированными, ведь связаны их выполняет производитель пользователь, имеющий воздействие на это производитель право), причем связаны последний о них торговых может и не предоставление подозревать. Для реализации также этой угрозы первой может использоваться торгового вирус (вирус целом выполняет необходимые также действия и сообщает закупочной тому, кто отличительным его внедрил спроса о результате).
Два последних места способа, особенно конечный «использование вслепую», развивающейся чрезвычайно опасны. Для розничной предотвращения подобных этапом действий требуется предприятия постоянный контроль деятельности как со предприятия стороны администраторов торгового и операторов за активную работой АСОИБ внешней в целом, так сопровождаются и со стороны системе пользователей за мероприятий своими собственными услуг наборами данных.
6. По разделении способу воздействия увязать на АСОИБ:
– в интерактивном торгового режиме;
– в пакетном режиме.
Работая относятся с системой, пользователь торгового всегда имеет распределение дело с какой-либо разделении ее программой. Но факторов одни программы предприятия составлены так, элементы что пользователь конечный может оперативно только воздействовать на конечный ход их услуг выполнения, вводя представлено различные команды активную или данные, системы а другие так, места что всю поставка информацию приходится воздействуют задавать заранее. К первым элементов (интерактивным) относятся, торгового например, интерпретаторы также командных языков, торгового некоторые утилиты, факторов управляющие программы развивающейся баз данных воздействуют и др. В основном это первой программы, ориентированные производитель на работу распределением с пользователем. Ко вторым зависимости (пакетным) относятся торговых в основном системные процесс и прикладные программы, разделении ориентированные на мероприятий выполнение каких-либо зависимости строго определенных элементы действий без уходящие участия пользователя.
Воздействия розничной различного рода заключение могут производиться торгового с использованием обоих предоставление классов программ. При заключение использовании программ системе первого класса торгового (например, для спроса атаки на целом систему при розничной помощи командного поставка интерпретатора) воздействие являясь оказывается более представляют длительным по представлено времени и, обеспечивающие следовательно, имеет изыскание высокую вероятность целом обнаружения, но удобством более гибким, воздействуют позволяющим оперативно этом менять порядок производитель действий. Воздействие с помощью места программ второго производитель класса (например, коммерческая с помощью вирусов) представляют является кратковременным, установление трудно диагностируемым, уходящие гораздо более процесс опасным, но обеспечивающие требует большой товаров предварительной подготовки связанные для того, особенности чтобы заранее внутренней предусмотреть все управление возможные последствия товаров вмешательства.
7. По объекту конечному атаки. Одной из поставка самых главных связанные составляющих нарушения системе функционирования АСОИБ деятельности является объект являясь атаки, то конечному есть компонент системе АСОИБ, который разделении подвергается воздействию этом со стороны производитель злоумышленника. Определение объекта закупочной атаки позволяет только принять меры развивающейся по ликвидации отличительным последствий нарушения, сопровождаются восстановлению этого производитель компонента, установку внешней контроля по этапом предупреждению повторных представлено нарушений и т.д.
Воздействию относятся могут подвергаться также следующие компоненты распределением АСОИБ:
а) АСОИБ элементы в целом – злоумышленник отличительным пытается проникнуть увязать в систему для обеспечивающие последующего выполнения представлено каких-либо несанкционированных коммерческая действий. Для этого этом обычно используются воздействие метод «маскарада», элементы перехват или системе подделка пароля, также взлом или воздействие доступ к АСОИБ услуг через сеть.
б) отличительным Объекты АСОИБ информационное – данные или этом программы в оперативной этом памяти или места на внешних сопровождаются носителях, сами элементов устройства системы, коммерческая как внешние элементы (дисководы, сетевые также устройства, терминалы), зависимости так и внутренние являясь (оперативная память, элементы процессор), каналы воздействие передачи данных. Воздействие закупочной на объекты обеспечивающие системы обычно воздействуют имеет целью представляют доступ к их представлено содержимому (нарушение распределение конфиденциальности или управление целостности обрабатываемой системы или хранимой относятся информации) или первой нарушение их торгового функциональности, например, услуг заполнение всей прибыли оперативной памяти распределение компьютера бессмысленной элемент информацией или разделение загрузка процессора распределение компьютера задачей внешней с неограниченным временем прибыли исполнения (нарушение развивающейся доступности АСОИБ).
в) поставка Субъекты АСОИБ особенности – процессы и подпроцессы внутренней пользователей. Целью таких этом атак является закупочной либо прямое степени воздействие на торговых работу процесса предоставление – его приостановка, активную изменение привилегий системы или характеристик спроса (приоритета, например), особенности либо обратное продвижении воздействие – использование заключение злоумышленником привилегий, уходящие характеристик и т.д. другого управление процесса в своих целом целях. Частным случаем конечный такого воздействия отличительным является внедрение распределение злоумышленником вируса внешней в среду другого спроса процесса и его факторов выполнение от спроса имени этого места процесса. Воздействие может прибыли осуществляться на конечному процессы пользователей, представлено системы, сети.
г) обеспечивающие Каналы передачи продвижении данных – пакеты изыскание данных, передаваемые воздействуют по каналу розничной связи и сами процесс каналы. Воздействие на товаров пакеты данных факторов может рассматриваться конечный как атака деятельности на объекты обеспечивающие сети, воздействие только на каналы удобством – специфический род продвижении атак, характерный системы для сети. К нему также относятся: прослушивание степени канала и анализ производитель трафика (потока предприятия сообщений) – нарушение отличительным конфиденциальности передаваемой также информации; подмена заключение или модификация системы сообщений в каналах относятся связи и на торгового узлах ретрансляторах экономическая – нарушение целостности производитель передаваемой информации; также изменение топологии представляют и характеристик сети, предприятия правил коммутации торгового и адресации – нарушение только доступности сети.
8. По процесс используемым средствам поставка атаки.
Для воздействия деятельности на систему розничной злоумышленник может процесс использовать стандартное розничной программное обеспечение товаров или специально этапом разработанные программы. В первом прибыли случае результаты этом воздействия обычно связанные предсказуемы, так управление как большинство элементы стандартных программ связанные АСОИБ хорошо торговых изучены. Использование специально связаны разработанных программ внешней связано с большими коммерческая трудностями, но этом может быть управление более опасным, внутренней поэтому в защищенных экономическая системах рекомендуется товаров не допускать закупочной добавление программ установление в АСОИБ без уходящие разрешения администратора поставка безопасности системы.
9. По спроса состоянию объекта более атаки. Состояние объекта более в момент атаки производитель может оказать установление существенное влияние предоставление на результаты распределением атаки и на места работу по продвижении ликвидации ее поставка последствий. Объект атаки воздействие может находиться конечный в одном из зависимости трех состояний:
а) торговых Хранения – на прибыли диске, магнитной широкого ленте, в оперативной товаров памяти или распределением любом другом установление месте в пассивном предоставление состоянии. При этом изыскание воздействие на изыскание объект обычно факторов осуществляется с использованием спроса доступа;
б) Передачи мероприятий – по линии представлено связи между элементов узлами сети степени или внутри розничной узла. Воздействие предполагает сопровождаются либо доступ элементы к фрагментам передаваемой торгового информации (например, системы перехват пакетов конечный на ретрансляторе внутренней сети), либо элементы просто прослушивание представляют с использованием скрытых распределение каналов;
в) Обработки торговых – в тех ситуациях, продвижении когда объектом представляют атаки является первой процесс пользователя.
Подобная относятся классификация показывает места сложность определения этапом возможных угроз этапом и способов их широкого реализации. Это еще внутренней раз подтверждает системы тезис, что более определить все являясь множество угроз связаны АСОИБ и способов являясь их реализации развивающейся не представляется коммерческая возможным. Не существует разделение универсального способа изыскание защиты, который предоставление предотвратил бы конечный любую угрозу. Этот производитель факт обуславливает прибыли необходимость объединения целом различных мер товаров защиты для удобством обеспечения безопасности представлено всей АСОИБ первой в целом.
Выше была связаны рассмотрена классификация целом возможных угроз товаров безопасности АСОИБ. Конечно, процесс не все развивающейся приведенные классы информационное угроз являются управление независимыми от представлено остальных, не элементы для любой установление угрозы можно уходящие определить, к какому системе виду в каждом также из перечисленных обеспечивающие классов она разделение принадлежит. Приведенная выше широкого классификация охватывает внутренней большинство основных распределение угроз безопасности спроса АСОИБ, которые предоставление должны найти торговых свое место закупочной в одном или внешней нескольких выделенных распределение классах.
Далее приведено управление более подробное внешней описание угроз, относятся с которыми наиболее отличительным часто приходится более сталкиваться администраторам распределение безопасности.
3.2 Современные угрозы системы и их виды распределение для информационной факторов безопасности банка
1) сопровождаются Несанкционированный доступ предприятия (НСД).
Это наиболее активную распространенный вид поставка компьютерных нарушений. Он изыскание заключается в получении распределение пользователем доступа установление к объекту, на управление который у него системе нет разрешения распределение в соответствии с принятой предоставление в организации политикой спроса безопасности. Обычно самая распределением главная проблема степени определить, кто элементы и к каким наборам элементы данных должен распределение иметь доступ, установление а кто нет. Другими изыскание словами, необходимо заключение определить термин внешней «несанкционированный».
По характеру связанные воздействия НСД производитель является активным факторов воздействием, использующим информационное ошибки системы. НСД степени обращается обычно производитель непосредственно к требуемому факторов набору данных, разделение либо воздействует предприятия на информацию прибыли о санкционированном доступе конечный с целью легализации первой НСД. НСД может торговых быть подвержен воздействие любой объект широкого системы. НСД может развивающейся быть осуществлен распределением как стандартными, широкого так и специально активную разработанными программными установление средствами к объектам розничной в любом состоянии.
Методика закупочной реализации НСД системы в значительной мере степени зависит от целом организации обработки места информации в АСОИБ, предприятия разработанной для предоставление АСОИБ политики предоставление безопасности, возможностей процесс установленных средств только защиты, а также процесс добросовестности администратора представлено и оператора. Для реализации установление НСД существует воздействие два способа:
– во-первых, элемент можно преодолеть изыскание систему защиты, информационное то есть процесс путем различных воздействуют воздействий на этапом нее прекратить отличительным ее действия конечный в отношении себя зависимости или своих закупочной программ. Это сложно, поставка трудоемко и не управление всегда возможно, системе зато эффективно;
– во-вторых, воздействие можно понаблюдать производитель за тем, этом что «плохо элемент лежит», то изыскание есть какие отличительным наборы данных, производитель представляющие интерес продвижении для злоумышленника, установление открыты для коммерческая доступа по особенности недосмотру или прибыли умыслу администратора. Такой воздействуют доступ, хотя разделение и с некоторой натяжкой, закупочной тоже можно экономическая назвать несанкционированным, товаров его легко торговых осуществить, но элемент от него элемент легко и защититься. К этому являясь же типу этом относится НСД поставка с подбором пароля, предприятия поскольку осуществить прибыли такой подбор элемент возможно лишь факторов в случае нарушения обеспечивающие правил составления элемент паролей и использования разделении в качестве пароля распределение человеческих имен, распределением повторяющихся символов, процесс наборов типа торговых QWERTY.
В подавляющем большинстве отличительным случаев НСД широкого становится возможным развивающейся из-за непродуманного удобством выбора средств отличительным защиты, их деятельности некорректной установки предприятия и настройки, плохого системы контроля работы, воздействуют а также при этапом небрежном отношении широкого к защите своих внутренней собственных данных.
2)Незаконное активную использование привилегий.
Злоумышленники, процесс применяющие данный изыскание способ атаки, относятся обычно используют представлено штатное программное представлено обеспечение (системное представляют или прикладное), целом функционирующее в нештатном системе режиме. Практически любая воздействуют защищенная система заключение содержит средства, системе используемые в чрезвычайных разделении ситуациях, при мероприятий сбоях оборудования продвижении или средства, коммерческая которые способны разделении функционировать с нарушением относятся существующей политики спроса безопасности. В некоторых случаях торговых пользователь должен этапом иметь возможность первой доступа ко конечному всем наборам места системы (например, прибыли при внезапной элемент проверке).
Такие средства производитель необходимы, но установление они могут распределением быть чрезвычайно предприятия опасными. Обычно эти экономическая средства используются предоставление администраторами, операторами, разделение системными программистами предприятия и другими пользователями, элемент выполняющими специальные представляют функции.
Для того, заключение чтобы уменьшить связаны риск от заключение применения таких заключение средств большинство заключение систем защиты связаны реализует такие закупочной функции с помощью конечному набора привилегий увязать – для выполнения целом определенной функции особенности требуется определенная воздействие привилегия. В этом случае степени каждый пользователь коммерческая получает свой зависимости набор привилегий, увязать обычные пользователи первой – минимальный, администраторы закупочной – максимальный (в деятельности соответствии с принципом степени минимума привилегий). Наборы места привилегий каждого экономическая пользователя являются экономическая его атрибутами развивающейся и охраняются системой элементы защиты. Несанкционированный захват связанные привилегий приведет, первой таким образом, мероприятий к возможности несанкционированного коммерческая выполнения определенной увязать функции. Это может зависимости быть НСД закупочной (частный случай), первой запуск определенных внешней программ и даже воздействие реконфигурация системы.
Естественно, элемент при таких конечному условиях расширенный разделении набор привилегий системе -заветная мечта предприятия любого злоумышленника. Он коммерческая позволит ему являясь совершать практически развивающейся любые действия, распределение причем, возможно, сопровождаются даже в обход предприятия всех мер изыскание контроля. Нарушения, совершаемые предоставление с помощью незаконного особенности использования привилегий, закупочной являются активным внутренней воздействием, совершаемым предоставление с целью доступа особенности к какому-либо объекту мероприятий или системе закупочной в целом.
Незаконный захват конечный привилегий возможен товаров либо при сопровождаются наличии ошибок коммерческая в самой системе распределением защиты (что, обеспечивающие например, оказалось экономическая возможным в одной внешней из версий более операционной системы увязать UNIX), либо закупочной в случае халатности торговых при управлении сопровождаются системой и привилегиями заключение в частности (например, коммерческая при назначении розничной расширенного набора управление привилегий всем распределение подряд). Строгое соблюдение только правил управления разделение системой защиты, обеспечивающие соблюдение принципа прибыли минимума привилегий предприятия позволят избежать уходящие таких нарушений.
3) связанные Атаки «салями»
Атаки прибыли «салями» более этапом всего характерны элементы для систем, внутренней обрабатывающих денежные только счета и, увязать следовательно, для факторов банка особенно воздействуют актуальны. Принцип атак широкого «салями» построен факторов на том конечный факте, что распределением при обработке поставка счетов используются воздействие целые единицы зависимости (центы, рубли, особенности копейки), а при этапом исчислении процентов процесс нередко получаются увязать дробные суммы.
Например, разделение 6.5% годовых от сопровождаются $102.87 за 31 разделении день составит мероприятий $0.5495726. Банковская система деятельности может округлить розничной эту сумму мероприятий до $0.55. Однако установление если пользователь розничной имеет доступ торгового к банковским счетам широкого или программам удобством их обработки, первой он может услуг округлить ее системе в другую сторону заключение – до $0.54, а разницу отличительным в 1 цент записать элементы на свой этом счет. Владелец счета отличительным вряд ли активную ее заметит, особенности а если и обратит спроса внимание, то торговых спишет ее обеспечивающие на погрешности этапом обработки и не более придаст значения. Злоумышленник производитель же получит процесс прибыль в один системе цент, при конечный обработке 10.000 счетов отличительным в день (а этапом в некоторых банках системе и больше). Его прибыль первой таким образом элементов составит $1000, широкого т.е. около $300 торгового 000 в год.
Отсюда факторов и происходит название процесс таких атак развивающейся – как колбаса элементов салями изготавливается особенности из небольших поставка частей разных являясь сортов мяса, воздействуют так и счет широкого злоумышленника пополняется торговых за счет торгового различных вкладчиков. Естественно, элемент такие атаки услуг имеют смысл относятся лишь в тех этом организациях, где информационное осуществляется не увязать менее 5.000 – 10.000 транзакций конечный в день, иначе этапом не имеет увязать смысла рисковать, этом поскольку в случае заключение обнаружения преступника распределением просто определить. Таким удобством образом, атаки предоставление «салями» опасны этапом в основном для разделении крупных банка.
Причинами связаны атак «салями» установление являются, во-первых, только погрешности вычислений, процесс позволяющие трактовать степени правила округления мероприятий в ту или розничной иную сторону, деятельности а во-вторых, огромные разделении объемы вычислений, услуг необходимые для воздействуют обработки счетов. Успех являясь таких атак относятся зависит не торговых столько от коммерческая величины обрабатываемых воздействуют сумм, сколько обеспечивающие от количества торгового счетов (для распределение любого счета управление погрешность обработки экономическая одинакова). Атаки «салями» относятся достаточно трудно управление распознаются, если уходящие только злоумышленник зависимости не начинает этапом накапливать на заключение одном счете торговых миллионы. Предотвратить такие торгового атаки можно элемент только обеспечением товаров целостности и корректности розничной прикладных программ, первой обрабатывающих счета, установление разграничением доступа представляют пользователей АСОИБ места к счетам, а также информационное постоянным контролем обеспечивающие счетов на внутренней предмет утечки также сумм.
4) «Скрытые мероприятий каналы»
«Скрытые каналы» конечный – пути передачи процесс информации между поставка процессами системы, также нарушающие системную конечный политику безопасности. В среде спроса с разделением доступа более к информации пользователь удобством может не воздействие получить разрешение особенности на обработку внутренней интересующих его установление данных, однако информационное может придумать системы для этого особенности обходные пути. Практически внешней любое действие целом в системе каким-то предоставление образом затрагивает только другие ее зависимости элементы, которые установление при этом предоставление могут изменять связаны свое состояние. При заключение достаточной наблюдательности разделении и знании этих степени связей можно развивающейся получить прямой предоставление или опосредованный элементов доступ к данным.
«Скрытые широкого каналы» могут являясь быть реализованы также различными путями, уходящие в частности при розничной помощи программных степени закладок («троянских установление коней»).
Например, программист производитель банка не изыскание всегда имеет широкого доступ к именам отличительным и балансам депозитных заключение счетов. Программист системы, этапом предназначенной для степени обработки ценных сопровождаются бумаг, может спроса не иметь торговых доступ к предложениям изыскание о покупке или конечному продаже. Однако при зависимости создании таких конечный систем он отличительным может предусмотреть элемент способ получения поставка интересующих его связаны сведений. В этом случае прибыли программа скрытым факторов способом устанавливает широкого канал связи конечный с этим программистом информационное и сообщает ему розничной требуемые сведения.
Атаки информационное с использованием скрытых спроса каналов обычно уходящие приводят к нарушениям изыскание конфиденциальности информации отличительным в АСОИБ, по предоставление характеру воздействия этом являются пассивными: системе нарушение состоит элементов только в передаче производитель информации. Для организации связанные «скрытых каналов» товаров может использоваться процесс как штатное представляют программное обеспечение, этом так и специально факторов разработанные «троянские» также или вирусные элементы программы. Атака обычно процесс производится программным увязать способом.
Примером передачи разделении информации по особенности «скрытым каналам» места может служить, только например, итоговый связаны отчет, в котором воздействуют вместо слова поставка «TOTAL» используется обеспечивающие слово «TOTALS» закупочной – программист сделал услуг так, что элементов при определенных конечный условиях, которые этом может распознать первой его программа, заключение должна происходить процесс замена слов. Подобными зависимости «скрытыми каналами» разделении могут стать поставка число пробелов особенности между двумя увязать словами, значение распределением третьей или обеспечивающие четвертой цифры спроса после запятой спроса в какой-нибудь дроби связаны (на которые производитель никто не элемент обращает внимания) связаны и т.д. «Скрытым каналом» розничной может явиться информационное и передача информации элементов о наличии или торговых отсутствии какого-либо представляют набора данных, внутренней его размере, широкого дате создания представляют или модификации заключение и т.д.
Также существует связанные большое количество конечный способов организации более связи между только двумя процессами развивающейся системы. Более того, закупочной многие операционные разделении системы имеют предоставление в своем распоряжении только такие средства, закупочной так как особенности они очень распределение облегчают работу торговых программистов и пользователей. Проблема информационное заключается в том, системе что очень коммерческая трудно отделить являясь неразрешенные «скрытые этапом каналы» от более разрешенных, то связаны есть тех, воздействие которые не активную запрещаются системной сопровождаются политикой безопасности. В конечном прибыли счете все спроса определяется ущербом, связанные который может системы принести организация активную «скрытых каналов».
Отличительными процесс особенностями «скрытых связанные каналов» является особенности их малая мероприятий пропускная способность внутренней (по ним этом обычно можно элементов передавать только заключение небольшое количество обеспечивающие информации), большие внутренней трудности их воздействие организации и обычно заключение небольшой наносимый закупочной ими ущерб. Более отличительным того, он целом вообще бывает относятся незаметен, поэтому сопровождаются специальные меры воздействуют защиты против услуг «скрытых каналов» активную предпринимают довольно первой редко. Обычно достаточно розничной грамотно разработанной представляют полномочной политики воздействуют безопасности.
5) «Маскарад»
Под целом «маскарадом» понимается установление выполнение каких-либо воздействие действий одним розничной пользователем АСОИБ связанные от имени системе другого пользователя. При воздействие этом такие экономическая действия другому разделение пользователю могут разделение быть разрешены. Нарушение целом заключается в присвоении закупочной прав и привилегий.
Такие факторов нарушения также воздействие называются симуляцией процесс или моделированием. Цель увязать «маскарада» – сокрытие мероприятий каких-либо действий развивающейся за именем элементов другого пользователя элементы или присвоение экономическая прав и привилегий широкого другого пользователя производитель для доступа увязать к его наборам заключение данных или первой для использования удобством его привилегий.
«Маскарад» связаны – это способ увязать активного нарушения системы защиты системы, степени он является экономическая опосредованным воздействием, информационное то есть конечному воздействием, совершенным предоставление с использованием возможностей мероприятий других пользователей.
Примером элемент «маскарада» может предприятия служить вход распределением в систему под спроса именем и паролем этом другого пользователя, информационное при этом системы система защиты сопровождаются не сможет прибыли распознать нарушение. В этом только случае «маскараду» производитель обычно предшествует связанные взлом системы системе или перехват внутренней пароля.
Другой пример удобством «маскарада» – присвоение уходящие имени другого системы пользователя в процессе производитель работы. Это может информационное быть сделано этом с помощью средств предприятия операционной системы отличительным (некоторые операционные продвижении системы позволяют места изменять идентификатор установление пользователя в процессе процесс работы) или закупочной с помощью программы, целом которая в определенном установление месте может этапом изменить определенные этом данные, в результате спроса чего пользователь товаров получит другое мероприятий имя. В этом случае уходящие «маскараду» может факторов предшествовать захват элемент привилегий, или особенности он может этапом быть осуществлен торгового с использованием какой-либо обеспечивающие ошибки в системе.
«Маскарадом» услуг также называют предоставление передачу сообщений представляют в сети от целом имени другого конечному пользователя. Способы замены этом идентификатора могут товаров быть разные, уходящие обычно они установление определяются ошибками особенности и особенностями сетевых товаров протоколов. Тем не внешней менее на предоставление приемном узле факторов такое сообщение системе будет воспринято элементов как корректное, отличительным что может установление привести к серьезным разделении нарушениям работы более сети. Особенно это торговых касается управляющих услуг сообщений, изменяющих продвижении конфигурацию сети, торговых или сообщений, управление ведущих к выполнению целом привилегированных операций. [8]
Наиболее предоставление опасен «маскарад» конечному в банковская системах элемент электронных платежей, элемент где неправильная предоставление идентификация клиента разделение может привести продвижении к огромным убыткам. Особенно только это касается розничной платежей с помощью элементы электронных банковская внешней карт. Сам по предприятия себе метод системы идентификации с помощью развивающейся персонального идентификатора продвижении (PIN) достаточно внешней надежен, нарушения активную могут происходить также вследствие ошибок обеспечивающие его использования. Это системы произойдет, например, первой в случае утери представлено кредитной карты, мероприятий при использовании элемент очевидного идентификатора системы (своего имени, производитель ключевого слова производитель и т.д.). Поэтому клиентам только надо строго разделении соблюдать все активную рекомендации банка экономическая по выполнению спроса такого рода воздействуют платежей.
«Маскарад» является первой достаточно серьезным системе нарушением, которое разделение может привести элемент к тяжелым последствиям, экономическая таким как элемент изменение конфигурации конечному системы (сети), связаны утечка информации, сопровождаются нарушения работы особенности АСОИБ. Для предотвращения степени «маскарада» необходимо экономическая использовать надежные элемент методы идентификации конечному и аутентификации, блокировку внешней попыток взлома связанные системы, контроль только входов в нее. Также услуг необходимо фиксировать торговых все события, процесс которые могут коммерческая свидетельствовать о «маскараде», распределением в системном журнале этом для его этом последующего анализа.
6) являясь «Сборка мусора»
После отличительным окончания работы экономическая обрабатываемая информация внутренней не всегда только полностью удаляется конечному из памяти. Часть розничной данных может внешней оставаться в оперативной предприятия памяти, на отличительным дисках и лентах, относятся других носителях. Данные целом хранятся на элементов носителе до зависимости перезаписи или деятельности уничтожения; при увязать выполнении этих воздействие действий на внешней освободившемся пространстве также диска находятся деятельности их остатки. Хотя розничной прочитать такие более данные трудно, товаров однако, используя места специальные программы прибыли и оборудование, все заключение же возможно. Такой управление процесс принято конечному называть «сборкой изыскание мусора». Он может коммерческая привести к утечке широкого важной информации.
«Сборка удобством мусора» – активное, сопровождаются непосредственное воздействие разделении на объекты элементов АСОИБ при системе их хранении более с использованием доступа. Это изыскание воздействие может факторов привести к нарушению продвижении конфиденциальности информации.
Для только защиты от сопровождаются «сборки мусора» распределение используются специальные системы механизмы, которые широкого могут быть изыскание реализованы в операционной сопровождаются системе и/или системе аппаратуре компьютера товаров или в дополнительных этом программных (аппаратных) представляют средствах. Примерами таких изыскание механизмов являются уходящие стирающий образец целом и метка полноты:
– стирающий прибыли образец – это этапом некоторая последовательность связаны битов, записываемая степени на место, системы освобождаемое файлом. Менеджер связаны или администратор представляют безопасности АСОИБ предприятия может автоматически целом активизировать запись коммерческая этой последовательности представляют при каждом распределение освобождении участка мероприятий памяти, при прибыли этом стираемые информационное данные уничтожаются разделение физически.
– метка полноты увязать предотвращает чтение экономическая участков памяти, информационное отведенных процессу места для записи, предприятия но не элемент использованных им. Верхняя разделение граница адресов воздействуют использованной памяти поставка и есть метка обеспечивающие полноты. Этот способ развивающейся используется для коммерческая защиты последовательных развивающейся файлов исключительного коммерческая доступа (результирующие увязать файлы редакторов, торгового компиляторов, компоновщиков элемент т.д.). Для индексных торговых и разделяемых последовательных зависимости файлов этот элементы метод называется более «стирание при поставка размещении», память распределение очищается при обеспечивающие выделении ее внешней процессу.
7) «Взлом предоставление системы»
Под «взломом увязать системы» понимают первой умышленное проникновение конечному в систему с несанкционированными предприятия параметрами входа, экономическая то есть конечный именем пользователя продвижении и его паролем конечный (паролями).
«Взлом системы» конечный – умышленное, активное разделении воздействие на этом систему в целом. «Взлом связаны системы» обычно разделение происходит в интерактивном разделение режиме.
Поскольку имя развивающейся пользователя не разделении является секретом, относятся объектом «охоты» предоставление обычно становится зависимости пароль. Способы вскрытия конечный пароля могут целом быть различны: также перебор возможных прибыли паролей, «маскарад» степени с использованием пароля связаны другого пользователя, развивающейся захват привилегий. Кроме относятся того, «взлом конечный системы» можно развивающейся осуществить, используя представляют ошибки программы предоставление входа.
Таким образом, экономическая основную нагрузку конечный на защиту более системы от изыскание «взлома» несет изыскание программа входа. Алгоритм целом ввода имени этом и пароля, их предоставление шифрование (при обеспечивающие необходимости), правила торговых хранения и смены особенности паролей не этапом должны содержать места ошибок. Противостоять «взлому торговых системы» также первой поможет например, места ограничение количества системе попыток неправильного процесс ввода пароля разделение с последующей блокировкой внешней терминала и уведомлением информационное оператора в случае информационное нарушения.
Кроме того, услуг оператор должен процесс постоянно контролировать воздействуют активных пользователей экономическая системы: их распределение имена, характер увязать работы, время прибыли входа и выхода экономическая и т.д. Такие действия конечный помогут своевременно торгового установить факт услуг «взлома» и позволят закупочной предпринять необходимые воздействуют действия.
8) «Люки»
«Люк» предприятия – это скрытая, развивающейся недокументированная точка поставка входа в программный первой модуль. «Люк» вставляется сопровождаются в программу обычно поставка на этапе являясь отладки для уходящие облегчения работы: процесс программный модуль системе можно вызывать торгового в разных местах, информационное что позволяет элемент отлаживать отдельные обеспечивающие его части места независимо. Но в дальнейшем только программист может торговых забыть уничтожить этом «люк» или представлено некорректно его коммерческая заблокировать. Кроме того, торгового «люк» может представляют вставляться на распределением этапе разработки деятельности для последующей места связи данного поставка модуля с другими конечному модулями системы, элементов но затем, предоставление в результате изменившихся разделении условий данная распределением точка входа изыскание оказывается ненужной.
Наличие зависимости «люка» позволяет степени вызывать программу элементы нестандартным образом, увязать что может обеспечивающие серьезно сказаться изыскание на состоянии факторов системы защиты также (неизвестно, как коммерческая в таком случае первой программа будет поставка воспринимать данные, целом среду системы поставка и т.д.). Кроме того, торговых в таких ситуациях системе не всегда разделение можно прогнозировать информационное ее поведение.
«Люк» коммерческая относится к категории развивающейся угроз, возникающих торговых вследствие ошибок прибыли реализации какого-либо элементы проекта (АСОИБ поставка в целом, комплекса этапом программ и т.д.). Поскольку элементов использование «люков» места может быть воздействуют самым разным особенности и зависит от закупочной самой программы, внутренней классифицировать данную развивающейся угрозу как-либо элементы еще затруднительно.
«Люки» воздействие могут оказаться связанные в программах по воздействие следующим причинам:
– их места забыли убрать;
– для относятся использования при развивающейся дальнейшей отладке;
– для производитель обеспечения поддержки связаны готовой программы;
– для зависимости реализации тайного товаров контроля доступа активную к данной программе представляют после ее воздействуют установки.
Первый из также перечисленных случаев торговых – ненамеренный промах, разделение который может торгового привести к бреши товаров в системе защиты. Два увязать следующих случая изыскание – серьезные испытания внутренней для системы управление безопасности, с которыми торгового она может изыскание и не справиться. Четвертый первой случай может этом стать первым установление шагом преднамеренного более проникновения с использованием воздействуют данной программы.
Отметим, связанные что программная распределением ошибка «люком» закупочной не является. «Люк» уходящие – это достаточно представлено широко используемый услуг механизм отладки, удобством корректировки и поддержки также программ, который предприятия создается преднамеренно, коммерческая хотя чаще также всего и без торговых злого умысла. Люк широкого становится опасным, сопровождаются если он только не замечен, элементы оставлен и не элементов предпринималось никаких широкого мер по места контролю за разделении ним.
Большая опасность розничной «люков», особенно распределением в программах операционной прибыли системы, компенсируется особенности высокой сложностью первой их обнаружения. Если экономическая не знать обеспечивающие заранее, что уходящие данная программа экономическая содержит «люк», элемент необходимо обработать первой килобайты (а спроса иногда и мегабайты) продвижении программного кода, разделении чтобы найти распределение его. Понятно, что закупочной почти всегда факторов это нереально. Поэтому связанные в большинстве случаев также обнаружение «люков» целом – результат случайного этапом поиска. Защита от услуг них может предоставление быть только разделении одна – не воздействие допускать появления представляют «люков» в программе, изыскание а при приемке изыскание программных продуктов, активную разработанных третьими коммерческая производителями – проводить представлено анализ исходных деятельности текстов программ связанные с целью обнаружения разделение «люков».
9) Вредоносные разделении программы
В последнее время внешней участились случаи заключение воздействия на уходящие вычислительную систему разделении при помощи развивающейся специально созданных распределением программ. Под вредоносными элементов программами в дальнейшем удобством будем понимать производитель такие программы, факторов которые прямо внутренней или косвенно относятся дезорганизуют процесс предприятия обработки информации деятельности или способствуют связанные утечке или деятельности искажению информации.
Ниже предприятия рассмотрим некоторые конечному (самые распространенные) предприятия виды подобных распределением программ: «троянский торговых конь», вирус, коммерческая «червь», «жадная» экономическая про грамма, конечный «захватчик паролей»:
«Троянский элемент кoнь» – программа, торговых выполняющая в дополнение зависимости к основным (проектным установление и документированным) не только описанные в документации распределение действия. Аналогия с древнегреческим мероприятий «троянским конем» воздействуют таким образом элемент вполне оправдана активную – в не вызывающей разделении подозрений оболочке более таится угроза. Программы более такого типа воздействие являются серьезной конечному угрозой безопасности первой АСОИБ.
По характеру внешней угрозы «троянский внутренней конь» относится элемент к активным угрозам, спроса реализуемым программными внешней средствами, работающими деятельности в пакетном режиме. Он управление может угрожать воздействие любому объекту прибыли АСОИБ. Наиболее опасным деятельности является опосредованное более воздействие, при целом котором «троянский коммерческая конь» действует этапом в рамках полномочий увязать одного пользователя, установление но в интересах конечный другого пользователя, сопровождаются установить личность связаны которого порой торгового невозможно.
Опасность «троянского продвижении коня» заключается зависимости в дополнительном блоке воздействие команд, тем экономическая или иным системы образом вставленном элементы в исходную безвредную представлено программу, которая предприятия затем предлагается связаны (дарится, продается, розничной подменяется) пользователям воздействуют АСОИБ. Этот блок относятся команд может активную срабатывать при внутренней наступлении некоторого разделении условия (даты, только времени и т.д., либо обеспечивающие по команде места извне). Запустивший такую коммерческая программу подвергает услуг опасности как элементы себя и свой внутренней файлы, так представляют и всю АСОИБ системе в целом.
Наиболее опасные разделении действия «троянский предоставление конь» может широкого выполнять, если элементы запустивший ее мероприятий пользователь обладает степени расширенным набором управление привилегий. В этом случае предприятия злоумышленник, составивший процесс и внедривший «троянского развивающейся коня», и сам широкого этими привилегиями элемент не обладающий, этапом может выполнить более несанкционированные привилегированные внешней функции чужими воздействуют руками. Или, например, товаров злоумышленника очень прибыли интересуют наборы процесс данных пользователя, целом запустившего такую более программу. Последний может товаров даже не целом обладать расширенным закупочной набором привилегий производитель – это не внутренней помешает выполнению розничной несанкционированных действий.
Характерным этапом примером «Троянского производитель коня» является удобством появившийся в Интернете увязать в январе 1999 представлено г. бесплатно распространяемый товаров Screen Saver, производитель который помимо представлено вывода красивых обеспечивающие картинок на воздействуют экране, осуществляет прибыли поиск на заключение компьютере программы-шифровальщика элемент алгоритма DEC. В случае увязать обнаружения программы, товаров Screen Saver уходящие ставит под распределение контроль обмен информационное ключами шифрования связанные и пересылает ключи торгового по электронной обеспечивающие почте на конечному анонимный сервер зависимости в Китае. [17]
«Троянский конь» зависимости – одна из распределение наиболее опасных связанные угроз безопасности распределение АСОИБ. Радикальным способом связаны защиты от услуг этой угрозы процесс является создание торговых замкнутой среды разделение исполнения программ. В особенности коммерческая важно разделение зависимости внешних сетей установление (особенно Интернет) элемент и внутренних сетей также по крайней товаров мере на разделение уровне протоколов, конечный а еще лучше разделении – на физическом системы уровне. Желательно также, увязать чтобы привилегированные являясь и непривилегированные пользователи особенности работали с разными отличительным экземплярами прикладных распределением программ, которые зависимости должны храниться относятся и защищаться индивидуально. При факторов соблюдении этих предоставление мер вероятность этапом внедрения программ целом подобного рода относятся будет достаточно относятся низкой.
Вирус – это увязать программа, которая поставка может заражать степени другие программы мероприятий путем включения услуг в них своей, информационное возможно модифицированной, факторов копии, причем связанные последняя сохраняет управление способность к дальнейшему первой размножению. Вирус может элемент быть охарактеризован элементов двумя основными услуг особенностями :
– способностью элементов к самовоспроизведению. Это свойство удобством означает, что информационное за время услуг своего существования степени на компьютере предоставление вирус должен конечный хотя бы сопровождаются один раз продвижении воспроизвести свою заключение копию на уходящие долговременном носителе;
– способностью места к вмешательству (получению внешней управления) в вычислительный прибыли процесс. Это свойство особенности является аналогом элементы «паразитирования» в живой зависимости природе, которое увязать свойственно биологическим системы вирусам.
Как и «троянские целом кони» вирусы управление относятся к активным воздействие программным средствам. Классификация связаны вирусов, используемые более ими методы процесс заражения, способы степени борьбы с ними воздействие достаточно хорошо степени изучены и описаны. Эта внутренней проблема в нашей этапом стране стала спроса особенно актуальной, поставка поэтому очень предоставление многие занимаются торговых ею.
Проблема защиты информационное от вирусов распределение может рассматриваться также с двух сторон: распределением как самостоятельная отличительным проблема и как разделении одна из деятельности сторон проблемы степени общей защиты первой АСОИБ. И тот, и другой конечный подходы имеют установление свои отличительные являясь особенности и, удобством соответственно, свои торговых собственные методы связанные решения проблемы.
В последнее системы время удалось также более или розничной менее ограничить отличительным масштабы заражений внутренней и разрушений. Тут сыграли активную свою роль целом и превентивные меры, коммерческая и новые антивирусные закупочной средства, и пропаганда поставка всех этих являясь мер.
Вообще говоря отличительным проблема вирусов распределением может стать связаны тем толчком, процесс который приведет производитель к новому осмыслению развивающейся как концепций широкого защиты, так особенности и принципов автоматизированной места обработки информации торговых в целом.
«Червь» – программа, обеспечивающие распространяющаяся через связанные сеть и (в процесс отличие от зависимости вируса) не удобством оставляющая своей закупочной копии на только магнитном носителе. «Червь» предприятия использует механизмы коммерческая поддержки сети процесс для определения широкого узла, который относятся может быть деятельности заражен. Затем с помощью прибыли тех же особенности механизмов передает деятельности свое тело внутренней или его относятся часть на торгового этот узел отличительным и либо активизируется, поставка либо ждет распределением для этого коммерческая подходящих условий.
Наиболее относятся известный представитель конечный этого класса распределением – вирус Морриса воздействие (или, вернее, факторов «червь Морриса»), увязать поразивший сеть поставка Internet в 1988 зависимости г. Наиболее подходящей разделение средой распространения разделение «червя» является услуг сеть, все предоставление пользователи которой зависимости считаются дружественными деятельности и доверяют друг коммерческая другу. Отсутствие защитных обеспечивающие механизмов как целом нельзя лучше изыскание способствует уязвимости установление сети.
Самый лучший элементы способ защиты целом от «червя» деятельности – принять меры являясь предосторожности против производитель несанкционированного доступа информационное к сети.
Таким образом, коммерческая как вирусы, предоставление так «троянские продвижении кони» и «черви» связанные на сегодняшний распределением день являются элементы одной из прибыли самых опасных только угроз АСОИБ. Для представлено защиты от изыскание этих разновидностей экономическая вредоносных программ мероприятий необходимо создание воздействие замкнутой среды факторов исполнения программ, системе разграничение доступа факторов к исполняемым файлам, предоставление контроль целостности представлено исполняемых файлов услуг и системных областей, особенности тестирование приобретаемых воздействуют программных средств.
«Жадные» информационное программы – это являясь программы, которые целом при выполнении внешней стремятся монополизировать целом какой-либо ресурс закупочной системы, не разделении давая другим связаны программам возможности относятся использовать его. Доступ конечному таких программ конечный к ресурсам системы деятельности обычно приводит экономическая к нарушению ее степени доступности. Естественно, такая представляют атака будет экономическая активным вмешательством распределение в работу системы. Непосредственной этапом атаке обычно распределением подвергаются ключевые представляют объекты системы: сопровождаются процессор, оперативная торгового память, устройства элементы ввода-вывода.
Многие компьютеры, особенности особенно в исследовательских внешней центрах, имеют услуг фоновые программы, отличительным выполняющиеся с низким конечный приоритетом. Они обычно деятельности производят большой разделении объем вычислений, только а результаты их информационное работы требуются информационное не так деятельности часто. Однако при внешней повышении приоритета предоставление такая программа розничной может блокировать распределением все остальные. Такая степени программа и будет услуг «жадной».
Тупиковая ситуация экономическая возникает, когда заключение «жадная» программа воздействуют бесконечна (например, элементов исполняет заведомо также бесконечный цикл). Однако заключение во многих изыскание операционных системах коммерческая существует возможность коммерческая ограничения времени элементы процессора, используемого установление задачей. Это не прибыли относится к операциям, обеспечивающие выполняющимся в зависимости целом от других продвижении программ, например, продвижении к операциям ввода-вывода, внутренней которые завершаются связаны асинхронно к основной являясь программе; время воздействие их выполнения уходящие не включается особенности в счет времени разделение программы. Перехватывая асинхронное управление сообщение о завершении развивающейся операции ввода-вывода внутренней и посылая вновь элемент запрос на услуг новый ввод-вывод, сопровождаются можно добиться внутренней по-настоящему бесконечной поставка программы. Такие атаки являясь называют также отличительным асинхронными.
Другой пример торгового «жадной» программы разделение – программа, захватывающая разделении слишком большую спроса область оперативной активную памяти. В оперативной памяти системе последовательно размещаются экономическая данные, например сопровождаются подкачиваемые с внешнего деятельности носителя. В конце концов внешней память может закупочной оказаться во степени владении одной отличительным программы, и выполнение экономическая других окажется отличительным невозможным.
Обычно «жадные» спроса программы осуществляют связаны захват одного отличительным из трех этапом основных ресурсов распределением системы: времени системе процессора, оперативной элементы памяти, каналов системы ввода-вывода. Однако возможен системы захват и любых обеспечивающие других ресурсов производитель системы: блокирование сопровождаются ее работы, конечному или же предоставление использование побочного распределением результата деятельности закупочной какой-либо программы системе (например, вируса). Бороться уходящие с захватом ресурсов заключение можно путем распределение введения различных предприятия ограничений для элемент выполняемых программ удобством (на время внутренней процессора, на этом количество операций деятельности ввода-вывода, на прибыли разрешенный объем торговых оперативной памяти места и т.д.), а также постоянным поставка операторским контролем заключение за их коммерческая соблюдением.
10) Захватчики закупочной паролей
Это программы сопровождаются специально предназначены изыскание для воровства внутренней паролей. При попытке торговых входа имитируется предоставление ввод имени производитель и пароля, которые степени пересылаются владельцу удобством программы-захватчика, после целом чего выводится целом сообщение об представлено ошибке ввода распределением и управление возвращается этапом операционной системе. Пользователь, товаров думающий, что особенности допустил ошибку распределением при наборе широкого пароля, повторяет распределение вход и получает уходящие доступ к системе. Однако информационное его имя предоставление и пароль уже элемент известны владельцу торгового программы-захватчика. Перехват пароля услуг может осуществляться места и другим способом этом – с помощью воздействия производитель на программу, коммерческая управляющую входом конечному пользователей в систему предоставление и ее наборы особенности данных.
Д ля предотвращения закупочной этой угрозы обеспечивающие перед входом разделение в систему необходимо розничной убедиться, что конечному вы вводите разделение имя и пароль представлено именно системной места программе входа, представлено а не какой-то производитель другой. Кроме того, увязать необходимо неукоснительно разделение придерживаться правил внутренней использования паролей представлено и работы с системой. Большинство разделение нарушений происходят более не из-за представлено хитроумных атак, заключение а из-за элементарной конечному небрежности. Не рекомендуется предоставление покидать рабочее услуг место, не особенности выйдя из внешней системы. Постоянно проверяйте удобством сообщения о дате только и времени последнего прибыли входа и количестве места ошибочных входов. Эти разделение простые действия предприятия помогут избежать активную захвата пароля.
Кроме развивающейся описанных выше, розничной существуют и другие разделении возможности компрометации связаны пароля. Не следует места записывать команды, отличительным содержащие пароль, процесс в командные процедуры, закупочной надо избегать воздействуют явного объявления внутренней пароля при разделение запросе доступа особенности по сети: производитель эти ситуации только можно отследить связаны и захватить пароль. Не представляют стоит использовать также один и тот прибыли же пароль торговых для доступа этапом к разным узлам.
Соблюдение воздействие правил использования воздействие паролей – необходимое активную условие надежной являясь защиты.
Глава 4. Анализ процесс состояния банковской факторов автоматизированной системы мероприятий с точки зрения только безопасности
4.1 Обеспечение безопасности факторов АСОИБ
Под безопасностью удобством АСОИБ будем места понимать ее широкого свойство, выражающееся целом в способности противодействовать предприятия попыткам нанесения этапом ущерба владельцам коммерческая и пользователям системы являясь при различных производитель возмущающих (умышленных закупочной и неумышленных) воздействиях конечному на нее. Иными распределением словами под места безопасностью системы внутренней понимается ее изыскание защищенность от целом случайного или распределение преднамеренного вмешательства установление в нормальный процесс относятся ее функционирования, информационное а также от отличительным попыток хищения, торговых модификации или услуг разрушения ее торговых компонентов. Следует отметить, представляют что природа элементов воздействия может прибыли быть самой розничной различной. Это и попытки разделении проникновения злоумышленника, заключение и ошибки персонала, представлено и стихийные бедствия воздействие (ураган, пожар), торговых и выход из особенности строя составных относятся частей АСОИБ.
Безопасность управление АСОИБ достигается системе обеспечением конфиденциальности представляют обрабатываемой ею воздействуют информации, а также торговых целостности и доступности представляют компонентов и ресурсов прибыли системы.
Конфиденциальность информации мероприятий – это свойство особенности информации быть распределением известной только прибыли допущенным и прошедшим услуг проверку (авторизованным) более субъектам системы факторов (пользователям, программам, заключение процессам и т.д.). Для элементы остальных субъектов внешней системы эта элемент информация как распределение бы не распределением существует.
Целостность компонента внешней (ресурса) системы продвижении – свойство компонента закупочной (ресурса) быть развивающейся неизменным (в продвижении семантическом смысле) распределением при функционировании системы системы.
Доступность компонента развивающейся (ресурса) системы первой – свойство компонента торговых (ресурса) быть изыскание доступным для управление использования авторизованными этапом субъектами системы торгового в любое время. [6, предоставление с.57]
Обеспечение безопасности обеспечивающие АСОИБ требует заключение применения различных торговых мер защитного распределением характера. Обычно вопрос увязать о необходимости защиты широкого компьютерной системы разделении не вызывает распределение сомнений. Наиболее трудными конечному бывают ответы этом на вопросы:
1. От заключение чего надо представляют защищать систему?
2. Что только надо защищать предприятия в самой системе?
3. Как информационное надо защищать предоставление систему (при заключение помощи каких конечный методов и средств)?
При торгового выработке подходов обеспечивающие к решению проблемы предоставление безопасности следует процесс всегда исходить элемент из того, сопровождаются что конечной конечному целью применения удобством любых мер элементов противодействия угрозам экономическая является защита распределением владельца и законных представлено пользователей АСОИБ системы от нанесения факторов им материального особенности или морального разделение ущерба в результате целом случайных или установление преднамеренных воздействий особенности на нее.
Обеспечение предприятия безопасности АСОИБ увязать в целом предполагает спроса создание препятствий разделении для любого экономическая несанкционированного вмешательства элементов в процесс ее разделение функционирования, а также относятся попыток хищения, изыскание модификации, выведения элемент из строя зависимости или разрушения изыскание ее компонентов. То предприятия есть защиту более всех компонентов связанные системы: оборудования, конечный программного обеспечения, процесс данных и персонала. В этом являясь смысле, защита управление информации от конечному несанкционированного доступа зависимости является только предоставление частью общей являясь проблемы обеспечения элементы безопасности АСОИБ, системе а борьбу следует являясь вести не услуг только с «несанкционированным поставка доступом» (к обеспечивающие информации), а шире, заключение – с «несанкционированными действиями».
Обычно конечный различают внешнюю разделении и внутреннюю безопасность поставка АСОИБ [3, воздействуют с.182]. Внешняя безопасность торговых включает защиту производитель АСОИБ от воздействуют стихийных бедствий торговых (пожар, наводнение процесс и т.п.) и от проникновения распределение злоумышленников извне прибыли с целями хищения, первой получения доступа внутренней к носителям информации факторов или вывода установление системы из торговых строя. Предметом внутренней изыскание безопасности является предприятия обеспечение надежной воздействие и корректной работы системы системы, целостности услуг ее программ разделение и данных.
Все усилия воздействуют по обеспечению системы внутренней безопасности информационное АСОИБ фокусируются более на создании удобством надежных и удобных товаров механизмов регламентации экономическая деятельности всех экономическая ее пользователей заключение и обслуживающего персонала, изыскание соблюдении установленной внутренней в организации дисциплины более прямого или товаров косвенного доступа связаны к ресурсам системы услуг и к информации.
Учитывая то отличительным обстоятельство, что обеспечивающие основным предназначением заключение АСОИБ является изыскание переработка (сбор, только хранение, обработка распределение и выдача) информации, обеспечивающие то проблема увязать обеспечения безопасности удобством информации является отличительным для АСОИБ закупочной центральной в ряду заключение проблем защиты факторов средств вычислительной установление техники от продвижении стихийных бедствий отличительным и хищений, проблем сопровождаются подбора и подготовки относятся кадров, организации только управления, обеспечения прибыли живучести АСОИБ, только надежности их экономическая технических средств торгового и программного обеспечения степени и других. Очевидно, что предоставление все они уходящие тесно связаны розничной с безопасностью информации, представляют поскольку, например, обеспечивающие отказ в обслуживании особенности клиента или внешней несвоевременное предоставление изыскание пользователю хранящейся мероприятий в АСОИБ важной элементов информации из-за факторов неработоспособности этой зависимости системы по элемент своим последствиям развивающейся равноценны потере деятельности информации (несанкционированному этапом ее уничтожению).
4.2 Анализ услуг построения системы факторов информационной безопасности
Анализ представлено построения системы только информационной безопасности сопровождаются следует начинать связанные с анализа рисков внутренней возможных угроз.
Риск воздействуют есть стоимостное также выражение вероятностного факторов события, ведущего представляют к потерям. Для оценки товаров степени риска являясь при том информационное или ином деятельности варианте действий представлено применяются различные распределение методики. В зарубежной литературе производитель они получили удобством название «анализ целом риска» (risk этом analysis). Анализ риска факторов применяется к самым разделение различным операциям. Например, разделение при выдаче обеспечивающие кредита специалисты этом банка оценивают широкого риск его элемент невозврата заемщиком. Оценив этапом величину степени первой риска можно предоставление принять меры, изыскание направленные на мероприятий ее уменьшение торгового (например, опечатав системе на складе факторов заемщика высоколиквидный разделении товар). [13, с.28]
Перед более тем, как внешней выбирать различные удобством средства защиты управление необходимо четко развивающейся представлять какие товаров компоненты АСОИБ, представляют от каких факторов посягательств и насколько первой надежно вы изыскание хотите защитить. Безусловно, воздействие основой системы уходящие защиты АСОИБ процесс должны быть связанные организационные (административные) процесс мероприятия, стержнем товаров которых является конечному разработка и реализация являясь плана защиты. Но элементы организационные меры предоставление без повсеместной широкого поддержки их производитель физическими и техническими спроса (программными и аппаратными) товаров средствами будут заключение слабы. Поэтому при зависимости выборе средств предоставление защиты необходимо разделение обращать внимание места не только процесс на их места надежность, но розничной и на то, конечный как они целом будут поддерживать разделении разработанные организационные прибыли мероприятия.
Необходимо использовать активную анализ риска воздействуют для выбора разделение наиболее реальных изыскание угроз АСОИБ деятельности и целесообразных способов сопровождаются защиты от элементов них.
Для чего услуг нужен анализ услуг риска в этой воздействуют области?
1. Для повышения разделение осведомленности персонала. Обсуждение торговых вопросов защиты широкого АСОИБ может производитель поднять уровень внешней интереса к этой торговых проблеме среди спроса сотрудников, что разделение приведет к более системы точному выполнению розничной требований инструкций.
2. Для предприятия определения сильных воздействуют и слабых сторон степени существующих и предлагаемых предприятия мер защиты. Многие поставка организации не экономическая имеют полной системе информации о своей факторов АСОИБ и ее экономическая слабых сторонах. Систематический разделении анализ дает системы всестороннюю информацию связаны о состоянии аппаратного внутренней и программного обеспечения внутренней АСОИБ и степени товаров риска потери заключение (искажения, утечки) разделение информации при управление ее обработке обеспечивающие и хранении в электронном места виде.
3. Для подготовки разделении и принятия решения уходящие по выбору целом мер и средств внутренней защиты. Защита снижает системе производительность АСОИБ, системе внося при системе этом неудобства управление (иногда существенные) продвижении в работу пользователей. Некоторые разделение меры защиты экономическая слишком сложны только и дороги и их места применение не этапом может быть внутренней оправдано теми элемент функциями, которые представляют они выполняют. В то заключение же время услуг существуют настолько коммерческая серьезные виды внешней угроз, что деятельности поиск и разработка экономическая новых, более относятся эффективных методов производитель и средств защиты экономическая от них товаров является просто установление необходимыми. В обоих случаях увязать степень риска экономическая определяет уровень места и масштаб применяемых факторов средств защиты.
4. Для места определения затрат предприятия на защиту. Некоторые внутренней механизмы защиты распределение требуют довольно конечному больших ресурсов, системы и их работа увязать скрыта от торгового пользователей. Анализ риска отличительным может помочь услуг определить самые представляют главные требования представляют к системе защиты системе АСОИБ.
Анализ риска экономическая – это процесс первой получения количественной воздействуют или качественной активную оценки ущерба, удобством который может только произойти в случае предприятия реализации угрозы этом безопасности АСОИБ.
Ниже воздействуют рассматриваются основные мероприятий этапы, проводимые прибыли при анализе элементов риска безопасности связанные АСОИБ. Они могут связаны в отдельных случаях товаров корректироваться в зависимости экономическая от конкретных удобством условий анализа внешней [13, с.29]:
1. Описание распределением компонентов АСОИБ.
2. Определение обеспечивающие уязвимых мест внутренней АСОИБ.
3. Оценка вероятностей процесс проявления угроз широкого безопасности АСОИБ.
4. Оценка элемент ожидаемых размеров разделении потерь.
5. Обзор возможных только методов защиты удобством и оценка их поставка стоимости.
6. Оценка выгоды воздействуют от применения широкого предполагаемых мер.
Рассмотрим конечному эти этапы степени подробнее. Описание компонентов разделение АСОИБ
Все компоненты товаров АСОИБ можно распределением разбить на связанные следующие категории:
– оборудование системе – ЭВМ и их установление составные части этом (процессоры, мониторы, коммерческая терминалы, рабочие целом станции), периферийные целом устройства (дисководы, информационное устройства back-up, закупочной порты ввода-вывода, системы принтеры, кабели, системе контроллеры, линии сопровождаются связи) и т.д.;
– программное внешней обеспечение – исходные, воздействуют объектные, загрузочные услуг модули, приобретенные разделении программы, «домашние» удобством разработки, утилиты, целом операционные системы закупочной и системные программы розничной (компиляторы, компоновщики продвижении и др.), диагностические программы продвижении и т.д.;
– данные – временные, информационное хранимые постоянно, разделение на магнитных воздействие носителях, печатные, элементов архивы, системные внешней журналы и т.д.;
– сотрудники широкого – пользователи и обслуживающий коммерческая персонал.
Кроме компонентов более АСОИБ при торговых планировании системы прибыли безопасности необходимо целом четко описать внутренней технологию обработки заключение информации в защищаемой отличительным АСОИБ. Необходимо зафиксировать элементы состояние АСОИБ воздействие как совокупности поставка различных компонентов представлено и технологии обработки изыскание информации. Все дальнейшие отличительным этапы анализа торговых риска производятся отличительным именно с этой, экономическая зафиксированной на воздействуют некоторый момент торговых времени, системой.
Важным особенности моментом является обеспечивающие определение уязвимых предприятия мест АСОИБ. Для прибыли всех категорий, управление компонентов АСОИБ предоставление необходимо определить, закупочной какие опасности зависимости могут угрожать заключение каждой из производитель них и что первой может быть экономическая их причиной.
Рассмотрим места примеры опасных уходящие воздействий, которые этом могут привести этом к нарушению конфиденциальности, заключение целостности и доступности целом определенных компонентов коммерческая и ресурсов АСОИБ:
1. Стихийные увязать бедствия.
2. Внешние воздействия. Подключение этом к сети, интерактивная элементы работа, воздействие разделении хакеров.
3. Преднамеренные нарушения. Действия розничной обиженных служащих, только взяточников, любопытных разделении посетителей, конкурентов торговых и т.д.
4. Неумышленные ошибки. Ввод представляют ошибочной команды, закупочной данных, использование товаров неисправных устройств, целом носителей, а также связанные пренебрежение некоторыми этом правилами безопасности.
Дальнейший коммерческая этап анализа торговых риска определяет, системы как часто услуг может проявиться связаны каждая из элементов угроз безопасности воздействие АСОИБ. В некоторых случаях торгового вообще невозможно элементов численно оценить этом появление той уходящие или иной системы угрозы, однако закупочной для большинства деятельности случаев такая распределением оценка все информационное же возможна.
Приведем относятся некоторые методы системы оценки вероятностей прибыли проявления угроз.
1. Эмпирическая торгового оценка количества относятся проявлений угрозы увязать за некоторый первой период времени. Как торговых правило, этот услуг метод применяется товаров для оценки особенности вероятности стихийных системе бедствий. Невозможно предсказать торгового возникновение, например, этапом пожара в определенном прибыли здании, поэтому связанные в таких случаях торговых целесообразно накапливать элемент массив данных воздействие об исследуемом деятельности событии. Так например, предоставление в среднем за коммерческая год пожар распределение уничтожит некоторое элементов количество зданий; заключение средний ущерб внешней составит $Х. Кроме внутренней того, также элементы можно получать степени данные об элементов обманах со связанные стороны сотрудников, прибыли коррупции и т.д. Такой конечный анализ обычно мероприятий неточен, поскольку установление использует лишь воздействуют частичные данные производитель о событии, но факторов тем не степени менее в некоторых продвижении случаях таким представляют путем можно широкого получить приемлемые этом результаты.
2. Непосредственная регистрация широкого событий. Обычно этот спроса метод применяется производитель для оценки активную вероятности часто этапом проявляющихся событий розничной (попытки входа обеспечивающие в систему, доступ целом к определенному объекту конечный и т.д.).
3. Оценка частоты внутренней проявления угрозы продвижении по таблице. Некоторые услуг методы анализа заключение риска позволяют воздействуют оценить вероятность развивающейся появления каких системе либо событий особенности по специальной только таблице, выбирая предприятия один из воздействуют коэффициентов. Полнота анализа широкого зависит от заключение качества метода факторов вычисления коэффициентов представлено проявления данного разделение события. Таким образом, закупочной оценка вероятности поставка события производится заключение не с помощью широкого безосновательного выбора места числа, а на системы основе системы также коэффициентов, которая процесс имеют некоторую конечному методологическую основу.
4. Метод спроса «Дельфийский оракул». С помощью особенности этого метода спроса каждый конкретный более коэффициент выводится воздействуют из частоты представлено появления определенного представляют события. Эти частоты воздействие накапливаются и преобразуются предоставление в коэффициенты; они предприятия могут быть увязать изменены на прибыли основе новых товаров данных. После серии являясь испытаний все этом значения коэффициентов места собирают, и если представлено они приемлемы, только то одно внутренней из них услуг (лучшее в смысле зависимости некоторого выбранного увязать критерия) оставляют. В противном управление случае анализируется воздействие методика получения разделении оценок и производится услуг новая серия конечный испытаний.
Определение потерь изыскание в результате реализации этом любой из этапом угроз безопасности прибыли – следующий этап торговых анализа риска. Как поставка и оценка частоты элемент реализации различных продвижении угроз, определение конечному потерь также элементы трудно поддается обеспечивающие расчету. Например, стоимость сопровождаются замены аппаратного этом или программного степени обеспечения АСОИБ установление оценивается достаточно увязать просто. Однако существует развивающейся много случаев системы (восстановление данных воздействуют или программ), продвижении когда это поставка сопряжено с большими закупочной трудностями.
Многие данные сопровождаются нуждаются в защите факторов по вполне экономическая объяснимым причинам. Защищать сопровождаются необходимо личные спроса данные (счета, деятельности страховые полисы), широкого коммерческую информацию развивающейся (технологические, финансовые связаны и другие секреты). Однако разделение при этом места трудно оценить коммерческая величину потерь места при искажении, воздействие потере этих предприятия данных, либо этапом при невозможности более получить данные воздействуют в требуемое время.
4.3 Построение удобством защиты банковской розничной автоматизированной системы
Каждую удобством систему обработки отличительным информации защиты заключение следует разрабатывать воздействуют индивидуально учитывая воздействие следующие особенности:
-организационную закупочной структуру банка;
объем особенности и характер информационных этом потоков (внутри относятся банка в целом, производитель внутри отделов, продвижении между отделами, предприятия внешних);
-количество и характер целом выполняемых операций: более аналитических и повседневных поставка (один из заключение ключевых показателей разделении активности банка зависимости – число банковских также операций в день, установление является основой распределением для определения только параметров системы);
-количество предоставление и функциональные обязанности торговых персонала;
-количество и характер представлено клиентов;
-график суточной управление нагрузки.
Защита АСОИБ прибыли должна разрабатываться увязать для каждой представлено системы индивидуально, разделении но в соответствии системе с общими правилами. Построение активную защиты предполагает степени следующие этапы:
– анализ удобством риска, заканчивающийся предоставление разработкой проекта предоставление системы защиты торгового и планов защиты, установление непрерывной работы связанные и восстановления;
– реализация системы разделении защиты на установление основе результатов широкого анализа риска;
– постоянный изыскание контроль за закупочной работой системы воздействие защиты и АСОИБ широкого в целом (программный, относятся системный и административный).
На мероприятий каждом этапе торгового реализуются определенные обеспечивающие требования к защите; производитель их точное экономическая соблюдение приводит предприятия к созданию безопасной элементы системы.
На сегодняшний более день защита внутренней АСОИБ – это элемент самостоятельное направление предприятия исследований. Поэтому легче также и дешевле использовать обеспечивающие для выполнения только работ по разделении защите специалистов, системе чем дважды управление учить своих уходящие людей (сначала продвижении их будут товаров учить преподаватели, деятельности а потом они сопровождаются будут учиться этом на своих представлено ошибках).
Главное при степени защите АСОИБ распределение специалистами (естественно информационное после уверенности активную в их компетенции спроса в данном вопросе) розничной – наличие здравого конечный смысла у администрации также системы. Обычно, профессионалы разделение склонны преувеличивать развивающейся реальность угроз коммерческая безопасности АСОИБ внешней и не обращать заключение внимания на воздействие такие «несущественные товаров детали» как системы удобство ее только эксплуатации, гибкость увязать управления системой относятся защиты и т.д., без прибыли чего применение предоставление системы защиты закупочной становится трудным первой делом. Построение системы управление защиты – это относятся процесс поиска отличительным компромисса между предоставление уровнем защищенности отличительным АСОИБ и сохранением системы возможности работы информационное в ней. Здравый смысл конечный помогает преодолеть связаны большинство препятствий торговых на этом целом пути.
Для обеспечения удобством непрерывной защиты предприятия информации в АСОИБ конечному целесообразно создать элементов из специалистов предприятия группу информационной развивающейся безопасности. На эту товаров группу возлагаются также обязанности по коммерческая сопровождению системы удобством защиты, ведения распределение реквизитов защиты, развивающейся обнаружения и расследования развивающейся нарушений политики торгового безопасности и т.д.
Один закупочной из самых услуг важных прикладных этом аспектов теории первой защиты – защита первой сети. При этом, розничной с одной стороны, внешней сеть должна восприниматься как единая система и, следовательно, ее защита также должна строиться по единому плану. С другой стороны, каждый узел сети должен быть защищен индивидуально.
Защита конкретной сети должна строиться с учетом конкретных особенностей: назначения, топологии, особенностей конфигурации, потоков информации, количества пользователей, режима работы и т.д.
Кроме того, существуют специфические особенности защиты информации на микрокомпьютерах, в базах данных. Нельзя также упускать из виду такие аспекты, как физическая защита компьютеров, периферийных устройств, дисплейных и машинных залов. Иногда бывает необходим и «экзотический» вид защиты – от электромагнитного излучения или защита каналов связи.
Основные этапы построения системы защиты заключаются в следующем:
Анализ -> Разработка системы защиты (планирование) -> Реализация системы защиты -> Сопровождение системы защиты.
Этап анализа возможных угроз АСОИБ необходим для фиксирования на определенный момент времени состояния АСОИБ (конфигурации аппаратных и программных средств, технологии обработки информации) и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АСОИБ от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации. Поэтому надо выбрать из всего множества возможных воздействий лишь те, которые могут реально произойти и нанести серьезный ущерб владельцам и пользователям системы.
На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.
По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: правовые, морально-этические, административные, физические и технические (аппаратные и программные) [9, с.28].
К правовым мерам защиты относятся действующие законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и ответственность за их нарушения. Этим они препятствуют несанкционированному использованию информации и являются сдерживающим фактором для потенциальных нарушителей.
К морально-этическим мерам противодействия относятся всевозможные нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают, как неписанные (например, общепризнанные нормы честности, патриотизма и т.п.), так и оформленные в некий свод (устав) правил или предписаний. Наиболее характерным примером последних является «Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США» [14]. В частности, считаются неэтичными умышленные или неумышленные действия, которые:
– нарушают нормальную работу компьютерных систем;
– вызывают дополнительные неоправданные затраты ресурсов (машинного времени, памяти, каналов связи и т.п.);
– нарушают целостность хранимой и обрабатываемой информации;
– нарушают интересы других законных пользователей и т.д.
Административные меры защиты – это меры организационного характера, регламентирующие процессы функционирования системы обработки информации, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
– разработку правил обработки информации в АСОИБ;
– мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АСОИБ (учет влияния стихии, пожаров, охрана помещений, организация защиты от установки прослушивающей аппаратуры и т.п.);
– мероприятия, осуществляемые при подборе и подготовке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки; создание условий, при которых персоналу было бы невыгодно допускать злоупотребления и т.д.);
– организацию надежного пропускного режима;
– организацию учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;
– распределение реквизитов разграничения доступа (паролей, профилей полномочий и т.п.);
– организацию скрытого контроля за работой пользователей и персонала АСОИБ;
– мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения (сертификация используемых технических и программных средств, строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.).
Физические меры защиты – это разного рода механические, электро- или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации.
Техническими (аппаратно-программными) средствами защиты называются различные электронные устройства и специальные программы, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическую защиту информации и т.д.).
Наилучшие результаты достигаются при системном подходе к вопросам обеспечения безопасности АСОИБ и комплексном использовании различных мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее проектирования.
Очевидно, что в структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего надо решить правовые и организационные вопросы.
Административные меры играют значительную роль в обеспечении безопасности АСОИБ. Эти меры необходимо использовать тогда, когда другие методы и средства защиты просто недоступны (отсутствуют или слишком дороги). Однако это вовсе не означает, что систему защиты необходимо строить исключительно на основе административных методов, как это часто пытаются сделать чиновники, далекие от технического прогресса. Этим мерам присущи серьезные недостатки, такие как:
– низкая их надежность без соответствующей поддержки со стороны физических, технических и программных средств (люди склонны к нарушению любых установленных правил, если только их можно нарушить);
– применение для защиты только административного мер обычно приводит к параличу деятельности АСОИБ и всей организации (совершенно невозможно работать не нарушая инструкций) из-за ряда дополнительных неудобств, связанных с большим объемом рутинной формальной деятельности.
Административные меры надо везде, где только возможно, заменять более надежными современными физическими и техническими средствами. Они должны обеспечивать эффективное применение других, более надежных методов и средств защиты в части касающейся регламентации действий людей.
Заключение
Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее.
Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банка.
Существуют однако два аспекта, выделяющих банки из круга остальных коммерческих систем:
1. Информация в банковская системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.
2. Она затрагивает интересы большого количества организаций и отдельных лиц.
Поэтому информационная безопасность банка – критически важное условие его существования.
В силу этих обстоятельств, к банковским системам предъявляются повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам:
– усиления конкуренции между банками;
– необходимости сокращения времени на производство расчетов;
– необходимости улучшать сервис.
В США, странах Западной Европы и многих других, столкнувшихся с этой проблемой довольно давно, в настоящее время создана целая индустрия защиты экономической информации, включающая разработку и производство безопасного аппаратного и программного обеспечения, периферийных устройств, научные изыскания и др.
Сфера информационной безопасности – наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.
Статистика показывает, что подавляющее большинство крупных организаций имеют план с правилами доступа к информации, а также план восстановления после аварий.
Безопасность электронной банковской системы зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы.
При этом для каждого отдельного вида банковских операций и электронных платежей или других способов обмена конфиденциальной информацией существуют свои специфические особенности защиты. Таким образом, организация защиты банковская систем есть целый комплекс мер, которые должны учитывать как общие концепции, но и специфические особенности.
Основной вывод, который можно сделать из анализа развития банковской отрасли, заключается в том, что автоматизация и компьютеризация банковской деятельности (и денежного обращения в целом) продолжает возрастать. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный переход на безналичные расчеты с использованием пластиковых карт, сети Интернет и удаленных терминалов управления счетом юридических лиц.
В связи с этим следует ожидать дальнейшее динамичное развитие средств информационной безопасности банка, поскольку их значение постоянно возрастает.
Список использованной литературы
1 Абрамов А.В. Новое в финансовой индустрии: информатизация банковская технологий. – СПБ: Питер, 2016
2 Гайкович Ю.В, Першин А.С. Безопасность электронных банковская систем. – М: Единая Европа, 2016
3 Демин В.С. и др. Автоматизированные банковские системы. – М: Менатеп-Информ, 2017
4 Крысин В.А. Безопасность предпринимательской деятельности. – М:Финансы и статистика, 2016
5 Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. – М: НИТ, 2016
6 Титоренко Г.А. и др. Компьютеризация банковской деятельности. – М: Финстатинформ, 2017
7 Тушнолобов И.Б., Урусов Д.П., Ярцев В.И. Распределенные сети. – СПБ: Питер, 2015
8Novell NetWare. Руководство пользователя, 2016
9 Аглицкий И. Состояние и перспективы информационного обеспечения российских банка. – Банковские технологии, 2015
10 Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф. – Открытые системы, 2017
11 Джонсон Джордж, Распределенные системы в многофилиальной структуре. – PC Magazine/Russian Edition, 2016
12 Заратуйченко О.В. Концепции построения и реализации информационных систем в банках. – СУБД, 2016
13 Кузнецов В.Е. Измерение финансовых рисков. – Банковские технологии, 2017
14 Мур Г. Глобальный информационный рынок. – Материалы агентства VDM-News, мониторинг иностранной прессы, 2016 г.
15 Семеновых В.А. Некоторые вопросы информационно-аналитической работы в банке. – Материалы Семинара «Практические вопросы информационно-аналитической работы в коммерческом банке», 2015
16 Тарасов П.И. Диасофт предлагает комплексные решения для банка. – Мир ПК, 1998 г., №5.
17 Материалы агентства «Интерфакс». 2015 гг.
Поделиться с друзьями:
Если вам понравился материал, поделитесь с друзьями — обрадуйте их!