Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

ываываыва. ПЕРЕВОД. Информационная безопасность в банковской сфере концептуальные вопросы в статье автором исследуется термин информационная безопасность


Скачать 18.41 Kb.
НазваниеИнформационная безопасность в банковской сфере концептуальные вопросы в статье автором исследуется термин информационная безопасность
Анкорываываыва
Дата08.10.2021
Размер18.41 Kb.
Формат файлаdocx
Имя файлаПЕРЕВОД.docx
ТипДокументы
#243980

Информационная безопасность в банковской сфере: концептуальные вопросы
В статье автором исследуется термин «информационная безопасность» и проанализированы основные направления и проблемы информационной безопасности в банковской отрасли. Обсуждаются основные типы повреждений, которые банки берут на себя в результате компромисса и происшествия в сфере информационной безопасности.

Ключевые слова: банки, ИТ, информационная безопасность, дистанционное банковское обслуживание, интернет-банкинг.

В статье уточняется термин "информационная безопасность" и анализируются основные направления и проблемы информационной безопасности в банковской отрасли. Автор рассматривает основные виды ущерба, который банки несут в результате компрометации и инцидентов информационной безопасности.

Ключевые слова: банки, ИТ, информационная безопасность, дистанционное банковское обслуживание, интернет-банкинг.

Проникновение новых информационно-коммуникационных технологий (ИТТ) в банковский бизнес постепенно и радикально меняет сущность и природу банковского дела. Появление инновационных средств связи помогает снизить разницу в ценах на географически удаленных рынках. Технологические инновации и способствуют более высокой степени интеграции и коммуникации между различными подразделениями внутри организации, а также расширению ассортимента продукции и используемых каналов дистрибуции.

Влияние интернет-банкинга как распределительного канала для дистанционного предоставления банковских услуг, способствующего значительному снижению роли физических филиалов. На европейском уровне на естественные филиалы банков приходится 64% продаж банковских продуктов, в то время как остальные 36% продаются через различные формы дистанционного банковского обслуживания [10]. Новые распределительные каналы влекут за собой постоянно растущие затраты банков на их создание и обслуживание. Например, если в 1996 году содержание банковского сайта стоило в диапазоне 5 000-500 000 долларов, то к 2005 году стоимость необходимой инфраструктуры для обеспечения полнофункционального электронного банкинга уже движется в диапазоне 50-150 миллионов долларов [13].

Наряду с конкурентными преимуществами и прямым экономическим эффектом от внедрения высокотехнологичных инноваций в банковском секторе, кредитные учреждения сталкиваются с рядом проблем, одной из которых является обеспечение безопасности поставляемых продуктов и связанной с ними информации. В целом, информационная безопасность охватывает все аспекты управления и поддержания целостности работы с информацией организации, независимо от ее носителя. В контексте цифровизации общества термин «информационная безопасность» стал использоваться в более узком смысле, охватывая только управление и обеспечение безопасности информации только в электронном виде. Сегодня информационная безопасность охватывает полный комплекс мер по предотвращению и устранению проблем в работе информационных систем в сочетании с мерами по защите информационных потоков от несанкционированного доступа и использования [7].

Рисунок 2. Топ-5 видов экономических преступлений, совершенных сектором финансовых услуг (2011-2014 гг.) Источник: Угрозы сектору финансовых услуг. Анализ сектора финансовых услуг PwC за 2014 год в глобальном

Информационная безопасность напрямую связана с проявлением операционного риска в банковском секторе [2] и является прямым следствием операционных проблем, организационных изменений, неадекватных или отсутствующих процедур, отсутствия разделения обязанностей, недостаточного или недостаточно подготовленного персонала, нарушений внутреннего контроля, мошенничества или непредвиденных событий, которые могут привести к неожиданным потерям, ошибкам, несвоевременным сбоям в работе информационных систем, пожарам и катастрофам, приводящим к уничтожению активов или данных. [3, с. 87] Наиболее распространенными источниками операционного риска, связанного с информационной безопасностью, являются: [6]

· персонал (человеческий фактор), в частности:

- Непреднамеренные и/или некомпетентные действия, связанные с отсутствием надлежащих навыков и знаний, недостаточной подготовкой, недостаточным пониманием стандартов работы, методов, инструментов и процедур, небрежностью, ошибками, неадекватным контролем и т.д.;

- Преднамеренные действия, связанные с несанкционированной деятельностью по совершению сделок, кражей, подделкой информации в системе бухгалтерского учета, подделкой финансовых и платежных документов, кражей наличных денег, взломом, преднамеренным нарушением банковских правил и процедур, отмыванием денег, торговлей инсайдерской информацией и другими преднамеренными действиями для личной выгоды;

- Неправильное планирование и управление персоналом - нехватка персонала и замена его недостаточно подготовленным и подготовленным персоналом, отсутствие персонала по болезни, текучесть кадров и другие;

- Влияние на интересы клиентов путем нарушения банковской тайны, разглашения личной и/или конфиденциальной информации, нарушения интересов клиента и других.

· Внутренние процессы - нарушения разработанных правил, руководящих принципов, процессов, политики и процедур контроля, неправильная оценка и измерение рисков в результате упущений или ошибок в используемых моделях.;

· Системы - Проблемы в информационных системах, отражающиеся на полном или частичном прерывании операций банка:

- Общие системные риски, связанные с ограничением доступа к системам и сетям, неадекватными процедурами резервного копирования и восстановления данных, политикой защиты от вирусов, политикой ограничения несанкционированного доступа к системам и т.д.;

- Риски, связанные с используемым программным обеспечением, возникающие в результате сбоев систем, ошибок в расчетах и/или отчетности о транзакциях или других программных ошибок из-за устаревшей и/или неадекватной технологии, несанкционированного доступа к учетным записям клиентов и проблем с архивированием данных и т.д.;

- Риски, связанные с аппаратным обеспечением, связанные с использованием устаревших или неисправных компьютерных систем, отсутствием резервирования критически важных серверов и аппаратных элементов, отсутствием систем резервного копирования и восстановления, отсутствием систем аварийного электроснабжения и другими.

· Внешние факторы, связанные с:

- Форс-мажорные обстоятельства - стихийные бедствия, пожары, вандализм, террористические акты и т.д.;

- Умышленные действия третьих лиц - ограбление, мошенничество от имени банка, хакерские атаки, незаконное присвоение доступа к счетам клиентов, другие умышленные действия;

- Риск поставщиков услуг - поставщиков услуг телефонной связи, электроснабжения, телекоммуникационной связи,

аутсорсинга и т.д.

Исследования, проведенные в 2015 году, показывают, что 82% предписанных банковских преступлений связаны с манипуляциями или несанкционированным

доступом к финансовой документации. Большая часть из них направлена на незаконное присвоение служебной информации или активов, в то время как осуществляемые с помощью компьютерных и информационных технологий составляют лишь 7% всех банковских преступлений [4, с. 99]. Этот вид преступлений совершается лицами, связанными с банком (или бывшими сотрудниками), [5,

с. 119], которые занимают руководящие должности (45%) и имеют чистую судимость (87%) или работают с нетехнической ориентацией (80%) [11, с. 4-11]. Исследование банковского сектора Болгарии показывает, что за последние пять лет 58% опрошенных должностных лиц банков привлекались к ответственности за хищение и нецелевое использование банковских активов, а другие 54% компаний-подрядчиков, получивших информацию об исполнении договорных обязательств, предпринимали попытки неправомерного использования предоставленной информации [1, с. 32].

С этой точки зрения, существенный аспект банковской безопасности связан с обеспечением информационной безопасности банковских активов, а также связанной с ними и управленческой информации. Особого внимания заслуживают две основные области: (1) безопасность документов, в частности: обеспечение защиты информации, содержащейся в физических документах, и (2) информационная безопасность, выражающаяся в обеспечении безопасности информации в электронном виде. Проблемы с документальной безопасностью банковской информации чаще всего связаны с подделкой документов третьими лицами; подделкой документов внутренними банковскими организациями; потеря, кража или неправомерное использование банковской и корпоративной информации; а также участие и сокрытие финансовых преступлений.

Основные попытки подорвать информационную безопасность банковских систем путем хищения, манипулирования или уничтожения информации продиктованы желанием быстро разбогатеть или совершить и скрыть другое преступление. Обычно они связаны с незаконным присвоением чужой личности, получением конфиденциальной информации путем шпионажа, использованием банковской инфраструктуры для финансовых и налоговых преступлений, в том числе. отмывание денег и киберпреступность [12, с. 8]. Наиболее часто используемые подходы при совершении этих преступлений связаны с использованием вредоносных программ, подхода "человек в браузере" (MITB), различных форм социальной инженерии, вишинга, китобойного промысла, SMS-фишинга, смишинга, использования слабых мест онлайн-платформ, DOS- или DDoS-атак и инсайдеров [8, с. 3-5].

Основные виды убытков, которые банк несет в результате реализованных нарушений информационной безопасности, включают прямой и косвенный финансовый ущерб, подрыв имиджа и репутации, упущенную выгоду и затраты на информационную безопасность [12, с. 11-12]. Это требует от банков поиска адекватных инструментов для оперативного управления и минимизации рисков, связанных с информационной безопасностью. Некоторые из новых подходов в этой области включают использование многофакторной аутентификации, геолокации, идентификации устройств, анализа поведения потребителей и других подобных средств [8, с. 5-6].

Многофакторная аутентификация связана с внедрением многоступенчатого процесса уникальной идентификации пользователя, который выходит за рамки стандартного имени пользователя и пароля, используя различные технические методы и устройства в сочетании

с ранее предоставленной клиентом личной информацией (например. Любимая команда, первая машина, домашний питомец и т.д.), способствуя его уникальной идентификации автоматизированными информационными системами банка. Что касается технического оборудования и устройств, используемых для аутентификации пользователя, банки в основном используют токены (для генерации случайных чисел), USB-устройства (в качестве носителя электронной подписи или другой уникальной идентифицирующей информации), SMS-уведомления (в т.ч. для отправки кода подтверждения для одноразового использования).

Недавняя тенденция в спектре технических средств, которые банки используют MAC-адреса устройств клиента (ПК, планшет, телефон) и услуги по геолокации (по IP-адресу или GPS) для оценки потенциального риска отправителя и запроса дополнительной информации, однозначно идентифицирует отправителя. Более того, все чаще также внедряются автоматизированные экспертные системы, с помощью которых банки проводят анализ поведения пользователей (например. Обычное время регистрации систем, типичные действия, обычный размер, частота, направление и способ оплаты используемых устройств) и эта база ищет аномалии (так называемые. «красные флажки"), которые указывают на потенциальную попытку обмана, в том числе. и используя украденную личность.

В последние годы в рамках политики управления информационной безопасностью банки стали уделять особое внимание планам действий в чрезвычайных ситуациях (т.е. Планы аварийного восстановления) путем включения их в меры по выявлению и созданию альтернативных механизмов и каналов для возобновления обслуживания в случае сбоя (резервирование оборудования, технологий, связи, аварийного электроснабжения и т.д.), созданию систем резервного копирования с быстрым восстановлением архивированных данных с минимальной потерей или без потери информации (построение кластерных систем, использование систем виртуализации, дублирование данных в режиме реального времени, высокая частота резервного копирования) и созданию центров аварийного восстановления, включая а также за счет использования сторонних поставщиков или облачных сервисов.

написать администратору сайта