Особливості захисту інформаційних систем у банківських установах та нормативно-правове забезпечення їх захисту (реферат)

Реферат на тему:

Особливості захисту інформаційних систем у банківських установах та нормативно-правове забезпечення їх захисту Технологія роботи з інформацією, зокрема в банківських установах України, останні роки іс­тотно змінилася. Широке застосування комп’ютерної техніки та новітніх інформаційних те­­хнологій у банківській діяльності стало реальністю.

Використання банківських інформаційних систем дозволяє скоротити витрати на об­слу­го­вування банківських операцій у реальному масштабі часу, що значною мірою сприяє під­ви­щенню якості оперативних, технічних і стратегічних фінансових рішень.

Сучасне розуміння інформаційної системи передбачає викорис­тання комп’ютера як ос­но­вного технічного засобу опрацювання інформації. Комп’ютери, оснащені спеціалізованими про­грамними засобами, є технічною базою та інструментом інформаційних систем.

Сучасні банківські інформаційні системи забезпечують:

— автоматизацію внутрішньобанківської діяльності;

— автоматизацію виконання міжбанківських розрахунків і зовнішньобанківських операцій;

— автоматизацію фінансових операцій у межах міжнародного банківського бізнесу.

Інформаційна система — взаємопов'язана сукупність засобів, методів і персоналу, яку ви­користовують для зберігання, опрацювання та видавання інформації, що слугує досягненню конкретного завдання. При системному підході можна виділити такі структурні складові уп­ра­вління:

— керуюча система, або суб'єкт управління (СУ);

— керована частина, або об'єкт управління (ОУ);

— інформаційна система (ІС), через яку відбувається зв’язок між СУ та ОУ. Загальну схему вза­ємодії між цими системами зображено нижче.

Інформаційна система — необхідна складова в процесі органі­зації управління — містить у со­бі такі основні частини:

1) сукупність економічних даних на відповідних носіях, ор­ганізованих певним способом;

2) методи, способи, технічні засоби й технології збирання, опрацювання, зберігання, пе­ре­си­лання інформації та її на­дання користувачам.

Для банківських установ велике значення має продуктивність ІС, її здатність швидко оп­ра­цьовувати інформацію, відстежувати зміни на об'єкті, у навколишньому середовищі та ма­к­си­маль­но їх ураховувати. Затримка з опрацюванням таких даних може коштувати дуже до­рого (на­приклад, неврахування нових вимог, постанов, вказівок та ін.) Для банку щонайменше мо­же призвести до штрафних санкцій.

Для банківських установ важливою особливістю є те, що об'єкт управління — керована ча­стина, або основне їх «виробництво» — пов’язаний з виробленням та опрацюванням ін­фо­р­мації. Адже основою діяльності таких установ є, по суті, робота з інформацією, яка ча­сто стає і предметом, і продуктом праці не лише відповідних інформаційних систем, а й установ у цілому. У банках доводиться та­кож вирішувати питання, пов’язані з управлінням грошовими ре­сур­сами і самими банківськими установами.

Крім того, банки надають своїм клієнтам численні різноманітні послуги. Скажімо, у США на­раховується нині не менш як 155 окремих видів банківських послуг, які так чи інакше пов’язані з переміщенням і розподілом грошових засобів [2]. Тому банківські автоматизовані ін­фо­р­ма­ці­йні си­стеми, або, як їх іще нази­вають, електронні банківські системи, — це системи, що ви­конують пе­реказування (переміщення) грошей, а також реєструють та аналізують ін­фо­р­ма­цію про ці оп­ерації з використанням комп’ютерів і сучасних засобів зв’язку.

Банківські ІС відрізняються від решти таких систем ще й тим, що інформація, яка в них ви­­користовується, має бути надійно захищеною, а вони самі повинні мати підвищену «жи­ву­чість» і безвідмовність у роботі.

Загалом банківські ІС забезпечують:

— автоматизацію внутрішньобанківської діяльності і, насам­перед, операцій з опрацювання пла­­тіжних та інших доку­ментів у тих підрозділах банківської установи, які працюють без­по­се­ре­дньо з клієнтами;

— автоматизацію виконання міжбанківських розрахунків та інших зовнішньобанківських опе­рацій;

— автоматизацію фінансових операцій у межах міжнародного банківського бізнесу.

Зрозуміло, що автоматизувати зазначені процеси необхідно з ураху­ванням їх вза­ємодоповнюваності і взаємозв'язку, а також того, що автоматизація кожного з цих процесів до­сить специфічна і становить складну проблему з високим рівнем автономності.

Згідно з нормативними документами під час створення автоматизованих систем (АС) по­трібно керуватися принципами системності, розвитку, сумісності, стандартизації та ефе­к­ти­в­но­сті [6].

Принцип системності. Необхідно встановлювати такі зв’язки між структурними еле­ме­н­та­ми системи, які забезпечують її сумісність і взаємодію з іншими системами. Отже, усі зв’я­зки, еле­менти, функції та проблеми управління необхідно розглядати як єди­не ціле.

Принцип розвитку (відкритості). Автоматизована сис­тема повинна створюватися з ура­­ху­­ван­ням можливості поповнення й оновлення її функцій та складу без порушення фун­к­­ці­о­ну­­ван­ня АС.

Принцип сумісності. Під час створення системи потрібно реалізувати інформаційні ін­те­р­фейси, завдяки яким ця система зможе взаємодіяти з іншими згідно зі вста­новленими пра­вилами. Так, будь-яка ІС на рівні комерційних банків повинна інфор­маці­йно взаємодіяти із системами установ Національного банку України, а ІС обласної по­даткової адміністрації - з ІС Головної по­даткової адміністрації України.

Принцип стандартизації. Під час створення систем необхідно раціонально застосувати ти­­пові, уніфіковані й стандартизо­вані елементи, проектні рішення, пакети прикладних про­г­рам тощо. Система та її елементи потребують стандартизації, щоб можна було мінімізувати всі види витрат, уніфікувати прийоми, методи та інструкції, якими керується пер­сонал.

Принцип ефективності. Досягнення раціонального співвідношення між витратами на ство­ре­н­ня АС і цільовими ефекта­ми, включаючи кінцеві результати, отримані від ав­то­матизації, які не завжди і не обов’язково мають набирати грошової форми, це можуть бу­ти економія ча­­су, певні зручності, нові функції, імідж тощо.

При створенні банківської інформаційної системи (БІС), крім того, виникають додаткові ви­­моги, тобто доводиться спиратися на деякі додаткові принципи.

Принцип безпеки даних. Інформація повинна бути захищена як під час її безпосереднього оп­­рацювання та зберігання в системі, так і в моменти обміну між комп’ютерами. Необхідно ви­­ключити можливість несанкціонованого доступу до даних у системі. Усі операції в сис­темі по­­винні реєструватися. Будь-яке порушення системи безпеки має бу­ти виявлене.

Принцип надійності системи. У БІС повинні бути однаково високонадійними як апаратне, так і програмне забезпечення. Інфор­мація для клієнта повинна бути точною, доступною і на­да­ва­тися йому без затримки. У разі виходу системи з ладу дані необхідно відновити, а по­­шкодження усунути.

Принцип продуктивності системи. Потреба додержуватися його випливає зі значної не­рів­­но­мірності надходження потоків інформації, яку слід опрацьовувати в певні проміжки ча­су, і жо­рстких вимог до термінів її опрацювання.

­Оперативне надання клієнтові інформації має вирішальне зна­чення під час оцінювання си­стеми та її ефективності. За умов, коли конкуренція між банківськими установами дедалі зро­стає, час надан­ня інформації клієнтові може стати вирішальним фактором у роботі системи.

Принцип пристосування (адаптації). Із часом робота бан­ків змінюється, виникають нові ви­ди діяльності та послуг. Тому існу­ючі інформаційні системи повинні бути придатними для мо­дифікації її розширення. Більш того, система може бути повністю перероблена, але ін­формація при цьому повинна зберігатися.

Будь-яка ІС поділяється на функціональну та за­безпечувальну частини (ФЧ та ЗЧ), які, у свою чергу, поділяються на простіші елементи — підсистеми, що також допускають подаль­ший поділ.

До ФЧ належать ті елементи системи, які визначають її функ­ціональні можливості, а саме: при­значення, виконувані управлінські функції та функції з опрацювання інформації.

До ЗЧ системи належать об'єкти (матеріальні та інші засоби), з допомогою яких ви­ко­ну­ю­ться функції системи.

До складу функціональної частини ІС входять такі системи: функціональні підсистеми, ко­мплекси завдань та окремі завдання.

Загальну структуру ІС відображає така схема:

Функціональні підсистеми — це відносно самостійна частина системи, яку виокремлено за певною ознакою, що відповідає кон­кретним функціям і завданням управління.

Найчастіше функціональні підсистеми утворюють за такими ознаками: стадії управління (про­гнозування, планування, облік) — системи виробничого процесу (праця, матеріали, грошові ко­шти) — апаратно-організаційна ознака (структурні підрозділи) — функціональна ознака (ви­ко­ну­вані функції).

В ІС банківських установ функціональні підсистеми можна виокремлювати за ознакою упра­вління елементами банківської діяльності: підсистема управління і проведення роз­ра­ху­н­кових, кре­дитних і депозитних операцій тощо.

ФЧ може реалізуватися на різній технічній базі та з різною тех­нологією опрацювання да­них:

— централізована технологія — завдання виконуються безпосередньо в обчислювальному це­н­трі;

— децентралізована технологія реалізується на персо­нальних комп’ютерах — ав­то­ма­ти­з­о­ва­них робочих місцях (АРМ). Вона ефективніша за централізовану, оскільки за­безпечує пря­мий доступ користувача до ЕОМ;

— змішана технологія передбачає, що частина завдань і опе­рацій виконується на АРМ, а ін­­ша — в обчислювальному центрі [3].

До складу забезпечувальної частини входять підсистеми техніч­ного, математичного, лін­г­­віс­ти­ч­ного, правового, інформаційного, а також організаційно-методичного та ерго­но­мі­ч­но­го за­безпечення.

Сучасні системи банківських показників складаються з показни­ків видів банківських послуг і банківської діяльності, які відобража­ють розрахунково-касовий, кредитний, депозитний, бух­га­л­терський, нормативний, законодавчий, фондовий, інвестиційний та інші аспекти фун­к­ці­о­н­у­вання банку. За допомогою аналітичних і зведених показ­ників аналізується структура активів та пасивів, доходів та видатків, грошових потоків за активними та пасивними операціями, лік­­відність та фінансова стійкість банку тощо.

Надання банківських послуг на основі комп’ютерних систем можна подати за трьома рів­­ня­ми. До першого — належать банківські послуги, які передбачають використання автоматів-ка­­­сирів, пластикових карток і систем розрахунків у торговельних пунктах, а також послуги, по­­в'язані з опрацюванням і збереженням грошових документів. До другого — послуги з ке­ру­ван­­ня грошовими операціями та їх контролювання. До третього — діяльність розрахунково-кас­ових центрів, автоматизованих розрахункових палат, клірингових центрів.

Ефективною і зручною формою обслуговування клієнтів є система електронних платежів за допомогою пластикових карток. З їх допомогою автомати-касири можуть видавати готівкові гро­ші і виконувати ряд функцій: приймання вкладів, переказування грошей, платіжні опе­ра­ції.

Автоматизація банківських операцій при роботі з готівкою пе­редбачає використання де­те­к­­торів валют і цінних паперів, лічиль­ників купюр і монет, пристрою для пакування банкнот, ма­шинок для знищення паперів і документів. За великих обсягів операцій це знач­но зменшує тру­домісткість роботи, економить час касирів, операціоністів.

Для підвищення виробництва і надійності автономних бан­ківських технологій комп’ютери об'є­днують у мережі за допомогою певних додаткових технічних і програмних засобів. У пра­ктиці банківської діяльності поширеними стали локальні обчислювальні мережі в межах од­­нієї установи.

Для сучасних автоматизованих інформаційних сис­тем банку, що відкривають нові мо­ж­ли­вості в організації всієї банківської діяльності, підвищують якість і надійність обслуговуван­ня, захист даних є однією з найактуальніших проблем.

Інформація, що зберігається та опрацьовується в банківських системах, відображає реальні гро­ші. Використовуючи інформацію з комп’ютера, можна проводити платежі, відкривати кре­дити, перека­зувати значні суми. Незаконні маніпуляції такою інформацією мо­жуть при­з­ве­­сти до значних збитків.

Банківська інформація пов’язана з інтересами великої кількості людей і організацій — клієнтів ба­нку. Вона конфіденційна, і банк несе відповідальність за забезпечення потрібної секретності пе­ред своїми клієнтами.

Оскільки банківська інформація — конфіденційна, автоматизо­вані банківські системи при­ре­чені залишатися відносно закритими і більше часу приділяти своїй безпеці. Задачі, які ро­з­в'я­зують ІС (інформаційні системи), можна поділити на два класи:

1. Аналітичні (прогнозування, планування, аналіз рахунків). Результати їхнього розв’язання мо­жуть справляти вплив на політику банків. З огляду на цінність результатів їхній захист повинен бути постійним.

2. Щоденні (виконання платежів і коригування розрахунків). Захист самого процесу оп­ра­цю­вання інформації та кінцевих резуль­татів також повинен бути постійним.

Щодо захисту, то велика увага приділяється захисту великих ЕОМ, відновленню інформації піс­ля аварій і катастроф, використан­ню антивірусних засобів, захисту персональних ЕОМ, захисту точок підключення до систем через комутовані лінії зв’язку, кінцеве ка­нальне ши­ф­ру­ван­ня даних, що передаються, використання програм­ного забезпечення для управління до­сту­пом до мережі.

Захист ІС необхідно розробляти для кожної системи індивідуально, відповідно до загальних пра­вил, і включати: аналіз ризику, що завершується розробленням проекту си­стеми захисту і планів захисту, безперервної роботи і від­новленняреалізацію системи захисту на основі ре­зультатів аналізу ризикупостійний контроль за роботою системи захисту і автомати­зованої си­стеми в цілому.

Специфічною рисою автоматизованих банківських систем є спеціальна форма обміну еле­ктронними даними (ОЕД): діловими, комерційними, фінансовими електронними до­ку­мен­тами.

Обмін електронними даними забезпечує оперативну взаємодію торговельних партнерів на всіх етапах підготовки торговельної уго­ди, укладення контрактів та реалізації поставки.

До переваг ОЕД треба віднести зменшення вартості операцій у зв’язку з переходом на без­паперову технологію.

Окремим випадком ОЕД є електронні платежі та повідомлення (тобто електронні гроші).

Одним із найуразливіших місць ОЕД є пересилання платіжних та інших повідомлень між бан­ком і банкоматом або між банком і клієнтом. Це породжує три проблеми: взаємного роз­пізнавання абонентів (проблема автентифікації при з'єднанні) — захист документів, що пе­ре­даються каналами зв’язкузахист самого процесу обміну документами.

У системах ОЕД повинні бути реалізовані механізми, що забезпечують реалізацію функції за­хисту на окремих вузлах системи та на рівні протоколів високого рівня: ідентифікація або­не­н­тівнеможливість відмови від авторства повідомленняконтроль за цілісністю повідомленняза­безпечення конфіденційності повідомленнягарантія доставки повідомленняреєстрація по­слідовності повідомлення.

Вирішення перерахованих проблем значною мірою залежить від правильного вибору сис­теми шифрування.

Окремими питаннями потрібно розглядати особливості захисту інформації в системах «Клі­єнт-Банк» та Національного банку України.

Інформаційні системи в банківській сфері потребу­ють захисту інформації, яка оп­ра­ць­о­ву­­ється і передається, від на­вмисного і ненавмисного втручання в нормальний процес фу­нкці­­онування системи, а також від спроб крадіжок, модифікації або руйнування компонентів сис­теми.

Безпеки банківської інформації досягають обмеженням доступу користувачів до різних функ­ціональних підсистем, використанням спеціального забезпечення, визначеного складу ус­­таткування та конфігурації системи.

Система повинна забезпечувати збереження цілісності інфор­мації при неполадках в апа­ра­турі.

Захист мереж, як і захист окремих систем, має три мети: підтримка конфіденційності інфор­­мації, що передається та опрацьо­вується в мережі, цілісність та доступність ресурсів ме­режі. Цього досягають правильним вибором системи шифрування.

Система захисту електронних банківських документів в устано­вах, включених до ін­фо­р­ма­цій­но-обчислювальної мережі НБУ, здійснюється на основі Положення про міжбанківські роз­рахунки в Україні, затвердженого постановою Нацбанка України від 08 жовтня 1998 року № 414.

Однак нормативно-правові забезпечення захисту інформації в банківській системі по­тре­бу­ють удосконалення.

Про це свідчить те, що у зв’язку з інформатизацією у світі та Україні у злочинному се­ре­до­вищі спостерігається тенденція світового «кіберпростору» до сфер злочинного бізнесу.

Згідно з даними Комісії з попередження злочинності та кримінального права, Організації Об'є­днаних Націй щорічний економічний збиток від комп’ютерних злочинів становить близько 20 мільярдів доларів США, у тому числі більше 50 відсотків припадає на банки [9].

Для вирішення зазначеної проблеми, на нашу думку, необхідно застосувати такі варіанти удо­сконалення чинного законодавства України у сфері соціальних інформаційних відносин:

­- визначити у Зводі законів України як галузь законодавства — «Інформаційне за­ко­но­да­в­с­тво» ;

— провести систематизацію національного інформаційного законодавства на рівні окре­­мого кодексу — Кодексу України про інформацію, положення якого базуватиметься на ко­н­сти­туційному, адміністративному, цивільному, трудовому та кримінальному законодавстві.

У Кодексі України, «Про інформацію» виділити окрему главу про захист інформації в ба­н­ків­сь­ких установах;

— внести зміни з метою усунення протиріч до Законів України «Про інформацію», «Про за­хист інформації в автоматизованих системах», «Про державну таємницю» .

Література:

1. Автоматизовані системи обробки економічної інформації / Лавінський В. та ін. — К.: Ви­ща школа, 1995.

2. Банковские электронные услуги. — М.: Банки и биржи, ЮНИТИ, 1997.

3. Коцовська Р. Р., Табачук Г. П. Операції комерційних банків. — 1997. — С. 31−56.

4. Методи захисту банківської інформації / Задірака В.К., Олексюк О. С., Недашковсь;

кий М.О. — 1999. — 261 с.

5. Рибай О. Й., Табачук Г. П., Хміль Л.М. Операції Ощадного банку України. — 2-ге вид., пер. і доп. — К.: Т-во «Знання» України, КОО, 1998. — 153 с.

6. Рогач І.Ф., Сензюк М. А., Антонюк В. А. Інформаційні системи у фінансово-кредитних ус­тановках. — 1999. — 216 с.

7. Ситник В. Ф., Краєва О.С. Технологія автоматизованої обробки економічної інформаії. — 1998. — 220 с.

8. Страхарчук А. Я., Страхарчук В. П. Комп’ютерні технології в економіці. — К.: Коопосвіта, 1999.

9. Юридичний вісник України. — 2002. — 5−11 березня. — С. 9.

10. Вісті Нацбанку України. — 2001. — № 2. — С. 9−21.