— інформаційна безпека банку (на відміну від більшості компаній) повинна забезпечувати високу надійність роботи комп’ютерних систем навіть у випадку позаштатних ситуацій, оскільки банк несе відповідальність не тільки за свої заходи, але й за гроші клієнтів.
Злочини в банківській сфері також мають свої особливості [186, с. 16]:
— багато злочинів, вчинених у банківській сфері, залишаються невідомими для широкої публіки у зв’язку з тим, що керівники банків не хочуть турбувати своїх акціонерів, бояться піддати свою організацію новим злочинам, побоюються «підмочити» репутацію надійного сховища заходів
і, як наслідок, втрати клієнтів;
—як правило, зловмисники звичайно використовують свої власні рахунки, на які переводяться викрадені суми. Більшість злочинців не знають як «відмити» украдені гроші. Уміння вчинити злочин і уміння отримати гроші — це не одне і те саме;
— більшість комп’ютерних злочинів — дрібні. Збитки від них коливаються в інтервалі від $ 10.000 до $ 50.000;
—успішні комп’ютерні злочини, як правило, вимагають великої кількості банківських операцій (кілька сотень). Однак великі суми можуть пересилатися і всього за кілька трансакцій;
— комп’ютерні злочини не завжди високотехнологічні. Досить підробки даних, зміни параметрів середовища АСОІБ тощо, а ці дії доступні й обслуговуючому персоналу;
— багато зловмисників пояснюють свої дії тим, що вони усього лише беруть у борг у банку з наступним поверненням. Втім «повернення», як правило, не відбувається.
Специфіка захисту автоматизованих систем обробки інформації банків (АСОІБ) зумовлена особливостями завдань, які вони покликані вирішувати:
—як правило, АСОІБ обробляють великий потік запитів, що постійно надходять у реальному масштабі часу, кожний з яких не вимагає для обробки численних ресурсів, але всі вони мусять бути оброблені тільки високопродуктивною системою;
— в АСОІБ зберігається й обробляється конфіденційна інформація, не призначена для широкої публіки. її підробка чи витік можуть призвести до серйозних (для банку чи його клієнтів) наслідків. Тому АСОІБ приречені залишатися відносно закритими, працювати під управлінням специфічного програмного забезпечення і приділяти велику увагу забезпеченню своєї безпеки;
— підвищені вимоги до надійності апаратного і програмного забезпечення, що дозволяє проводити беззупинну обробку інформації навіть за умови різних збоїв і відмов;
— аналітичні завдання — планування, аналіз рахунків і т.ін. Вони не є оперативними і вимагають тривалого часу для розв’язання, а їхні результати можуть вплинути на політику банку у відношенні конкретного клієнта чи проекту. Тому підсистема, яка забезпечує та враховує аналітичні завдання, повинна бути надійно ізольована від основної системи обробки інформації;
— завдання, які розв’язуються у щоденній діяльності, у першу чергу, виконання платежів і корегування рахунків. Саме вони й визначають розмір та потужність основної системи банку; для їхнього вирішення звичайно потрібно набагато більше ресурсів, ніж для аналітичних завдань. У той же час, цінність інформації, обробленої за розв’язання таких завдань, має тимчасовий характер. Поступово вона (наприклад, про виконання будь- якого платежу) стає не актуальною. Тому інколи достатньо забезпечити захист платежу саме в момент його проведення. При цьому захист самого процесу обробки і кінцевих результатів має бути постійним.
Яким заходам систем обробки інформації віддають перевагу закордонні фахівці? На це питання можна відповісти, використовуючи результати опитування, проведеного Datapro Information Group у 1994 р. серед банків і фінансових організацій [186]:
— сформовану політику інформаційної безпеки мають 82% опитаних. Порівняно з 1991 р. відсоток організацій, що мають систему безпеки, збільшився на 13%;
» следующая страница »
1 ... 234 235 236 237 238 239240 241 242 243 244 ... 381