Вход
+7 831 235 38 53
Информационные технологии - готовые работы
Работа в виде презентации Power Point
Темой данной дипломной работы является оценка эффективности антивирусного программного обеспечения для мобильных систем.
Ни для кого уже не является чем-то необычным, когда на мобильный телефон или КПК устанавливают антивирусные программные продукты. Ведь защита информации, подчас конфиденциальной, которая хранится на таких устройствах, в последние годы стала интересовать злоумышленников ничуть не меньше, чем хранящаяся на компьютерах. А значит, стали появляться и различные вредоносные программы для мобильных устройств.
В большинстве случаев, принципы работы вирусов для мобильных устройств ничем не отличаются от вирусов для настольных операционных систем. Различия составляют лишь методы проникновения в устройство, а также действия, которые они могут выполнять.
Данная тема является актуальной, поскольку на сегодняшний день мобильное устройство (как правило — мобильный телефон) есть практически у каждого второго человека в мире. И для злоумышленников это очень большое «поле действий», ведь каждое такое устройство может представлять для них интерес в:
• краже денежных средств с баланса телефона;
• краже контактов из телефонной книги, с целью дальнейшей рассылки спам-сообщений;
• краже другой конфиденциальной информации (SMS/MMS-сообщения);
• установке полного контроля над устройством, включая управление им удаленно;
• удалении данных с устройства, блокировка работы устройства и т.д.
Для мобильных устройств тоже существуют антивирусные решения, использующие различные алгоритмы поиска и уничтожения вирусов, а также предотвращающие проникновение на устройства.
В первой части работы будет приведена классификация мобильных устройств, а также рассмотрены потенциальные уязвимости каждого из видов устройств.
Во второй части будут рассмотрены существующие программные платформы (операционные системы), которые управляют мобильными устройствами, а также известные проблемы с безопасностью в каждой из них.
Третья часть работы содержит описание интерфейса мобильного устройства на примере мобильного телефона Nokia 5800 XpressMusic, а также рассмотрена архитектура ОС Symbian, под управлением которой работает данная модель телефона.
В четвертой части подробно рассмотрены возможные варианты нанесения ущерба при вирусных атаках на мобильные устройства.
Пятая часть содержит информацию об убытках в мировой экономике от вирусных атак.
Шестая часть подробно рассказывает о мобильных вирусах: история их появления и развитие, их классификация и поведение, специфика заражения различных платформ и способы проникновения в систему.
В седьмой части будут рассмотрены основные антивирусные программные продукты для мобильных устройств, описаны их основные возможности и платформы, под которыми они могут работать.
Ни для кого уже не является чем-то необычным, когда на мобильный телефон или КПК устанавливают антивирусные программные продукты. Ведь защита информации, подчас конфиденциальной, которая хранится на таких устройствах, в последние годы стала интересовать злоумышленников ничуть не меньше, чем хранящаяся на компьютерах. А значит, стали появляться и различные вредоносные программы для мобильных устройств.
В большинстве случаев, принципы работы вирусов для мобильных устройств ничем не отличаются от вирусов для настольных операционных систем. Различия составляют лишь методы проникновения в устройство, а также действия, которые они могут выполнять.
Данная тема является актуальной, поскольку на сегодняшний день мобильное устройство (как правило — мобильный телефон) есть практически у каждого второго человека в мире. И для злоумышленников это очень большое «поле действий», ведь каждое такое устройство может представлять для них интерес в:
• краже денежных средств с баланса телефона;
• краже контактов из телефонной книги, с целью дальнейшей рассылки спам-сообщений;
• краже другой конфиденциальной информации (SMS/MMS-сообщения);
• установке полного контроля над устройством, включая управление им удаленно;
• удалении данных с устройства, блокировка работы устройства и т.д.
Для мобильных устройств тоже существуют антивирусные решения, использующие различные алгоритмы поиска и уничтожения вирусов, а также предотвращающие проникновение на устройства.
В первой части работы будет приведена классификация мобильных устройств, а также рассмотрены потенциальные уязвимости каждого из видов устройств.
Во второй части будут рассмотрены существующие программные платформы (операционные системы), которые управляют мобильными устройствами, а также известные проблемы с безопасностью в каждой из них.
Третья часть работы содержит описание интерфейса мобильного устройства на примере мобильного телефона Nokia 5800 XpressMusic, а также рассмотрена архитектура ОС Symbian, под управлением которой работает данная модель телефона.
В четвертой части подробно рассмотрены возможные варианты нанесения ущерба при вирусных атаках на мобильные устройства.
Пятая часть содержит информацию об убытках в мировой экономике от вирусных атак.
Шестая часть подробно рассказывает о мобильных вирусах: история их появления и развитие, их классификация и поведение, специфика заражения различных платформ и способы проникновения в систему.
В седьмой части будут рассмотрены основные антивирусные программные продукты для мобильных устройств, описаны их основные возможности и платформы, под которыми они могут работать.
Темой данной дипломной работы является оценка эффективности антивирусного программного обеспечения для мобильных систем.
Ни для кого уже не является чем-то необычным, когда на мобильный телефон или КПК устанавливают антивирусные программные продукты. Ведь защита информации, подчас конфиденциальной, которая хранится на таких устройствах, в последние годы стала интересовать злоумышленников ничуть не меньше, чем хранящаяся на компьютерах. А значит, стали появляться и различные вредоносные программы для мобильных устройств.
В большинстве случаев, принципы работы вирусов для мобильных устройств ничем не отличаются от вирусов для настольных операционных систем. Различия составляют лишь методы проникновения в устройство, а также действия, которые они могут выполнять.
Данная тема является актуальной, поскольку на сегодняшний день мобильное устройство (как правило — мобильный телефон) есть практически у каждого второго человека в мире. И для злоумышленников это очень большое «поле действий», ведь каждое такое устройство может представлять для них интерес в:
• краже денежных средств с баланса телефона;
• краже контактов из телефонной книги, с целью дальнейшей рассылки спам-сообщений;
• краже другой конфиденциальной информации (SMS/MMS-сообщения);
• установке полного контроля над устройством, включая управление им удаленно;
• удалении данных с устройства, блокировка работы устройства и т.д.
Для мобильных устройств тоже существуют антивирусные решения, использующие различные алгоритмы поиска и уничтожения вирусов, а также предотвращающие проникновение на устройства.
В первой части работы будет приведена классификация мобильных устройств, а также рассмотрены потенциальные уязвимости каждого из видов устройств.
Во второй части будут рассмотрены существующие программные платформы (операционные системы), которые управляют мобильными устройствами, а также известные проблемы с безопасностью в каждой из них.
Третья часть работы содержит описание интерфейса мобильного устройства на примере мобильного телефона Nokia 5800 XpressMusic, а также рассмотрена архитектура ОС Symbian, под управлением которой работает данная модель телефона.
В четвертой части подробно рассмотрены возможные варианты нанесения ущерба при вирусных атаках на мобильные устройства.
Пятая часть содержит информацию об убытках в мировой экономике от вирусных атак.
Шестая часть подробно рассказывает о мобильных вирусах: история их появления и развитие, их классификация и поведение, специфика заражения различных платформ и способы проникновения в систему.
В седьмой части будут рассмотрены основные антивирусные программные продукты для мобильных устройств, описаны их основные возможности и платформы, под которыми они могут работать.
Ни для кого уже не является чем-то необычным, когда на мобильный телефон или КПК устанавливают антивирусные программные продукты. Ведь защита информации, подчас конфиденциальной, которая хранится на таких устройствах, в последние годы стала интересовать злоумышленников ничуть не меньше, чем хранящаяся на компьютерах. А значит, стали появляться и различные вредоносные программы для мобильных устройств.
В большинстве случаев, принципы работы вирусов для мобильных устройств ничем не отличаются от вирусов для настольных операционных систем. Различия составляют лишь методы проникновения в устройство, а также действия, которые они могут выполнять.
Данная тема является актуальной, поскольку на сегодняшний день мобильное устройство (как правило — мобильный телефон) есть практически у каждого второго человека в мире. И для злоумышленников это очень большое «поле действий», ведь каждое такое устройство может представлять для них интерес в:
• краже денежных средств с баланса телефона;
• краже контактов из телефонной книги, с целью дальнейшей рассылки спам-сообщений;
• краже другой конфиденциальной информации (SMS/MMS-сообщения);
• установке полного контроля над устройством, включая управление им удаленно;
• удалении данных с устройства, блокировка работы устройства и т.д.
Для мобильных устройств тоже существуют антивирусные решения, использующие различные алгоритмы поиска и уничтожения вирусов, а также предотвращающие проникновение на устройства.
В первой части работы будет приведена классификация мобильных устройств, а также рассмотрены потенциальные уязвимости каждого из видов устройств.
Во второй части будут рассмотрены существующие программные платформы (операционные системы), которые управляют мобильными устройствами, а также известные проблемы с безопасностью в каждой из них.
Третья часть работы содержит описание интерфейса мобильного устройства на примере мобильного телефона Nokia 5800 XpressMusic, а также рассмотрена архитектура ОС Symbian, под управлением которой работает данная модель телефона.
В четвертой части подробно рассмотрены возможные варианты нанесения ущерба при вирусных атаках на мобильные устройства.
Пятая часть содержит информацию об убытках в мировой экономике от вирусных атак.
Шестая часть подробно рассказывает о мобильных вирусах: история их появления и развитие, их классификация и поведение, специфика заражения различных платформ и способы проникновения в систему.
В седьмой части будут рассмотрены основные антивирусные программные продукты для мобильных устройств, описаны их основные возможности и платформы, под которыми они могут работать.
Значение эффективной системы распространения правовой информации для современного гражданского общества трудно переоценить. Становится очевидным, что никакая реформа экономического уклада и политического устройства в стране в принципе невозможна без доступа миллионов граждан и сотен тысяч предприятий к правовой информации. Можно выделить три основные проблемы, которые обычно приходится решать при создании эффективных механизмов распространения этого вида информации.
Первая проблема обусловлена тем, что государственные структуры, выпускающие правовые документы, недостаточно открыты
Вторая проблема связана с созданием действительно эффективных и доступных для массового потребителя каналов распространения правовой информации.
Третья проблема касается создания эффективных инструментов для работы с огромным массивом самой разнообразной правовой информации.
Итак, целью настоящей работы является изучение основных свойств и возможностей правовой информационной системы.
Для достижения указанной задачи перед работой ставятся следующие задачи:
1. Определить понятие и основные свойства правовой информационной системы.
2. Изучить основные свойства справочной информационной системы «Консультант Плюс».
Первая проблема обусловлена тем, что государственные структуры, выпускающие правовые документы, недостаточно открыты
Вторая проблема связана с созданием действительно эффективных и доступных для массового потребителя каналов распространения правовой информации.
Третья проблема касается создания эффективных инструментов для работы с огромным массивом самой разнообразной правовой информации.
Итак, целью настоящей работы является изучение основных свойств и возможностей правовой информационной системы.
Для достижения указанной задачи перед работой ставятся следующие задачи:
1. Определить понятие и основные свойства правовой информационной системы.
2. Изучить основные свойства справочной информационной системы «Консультант Плюс».
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы правового регулирования возникающих при этом общественных отношений.
Общепризнано, что информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности.
Данная работа посвящена методам обеспечения информационной безопасности в Российской Федерации, а в частности правовым, а так же законодательству в этой области и путям его совершенствования.
Общепризнано, что информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности.
Данная работа посвящена методам обеспечения информационной безопасности в Российской Федерации, а в частности правовым, а так же законодательству в этой области и путям его совершенствования.
ЭВМ, компьютер – это комплекс технических средств, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач.
Требования пользователей к выполнению вычислительных работ определяется подбором и настройкой технических и программных средств объединенных в одну структуру.
Структура ЭВМ – это совокупность ее элементов и их связей. Различают структуры технических, программных и аппаратурно-программных средств.
Архитектура ЭВМ – это многоуровневая иерархия аппаратурно-программных средств, из которых состоит ЭВМ. Каждый из уровней допускает многовариантное построение и применение.
Величина и разнообразие современного парка ЭВМ потребовали системы квалификации ЭВМ. Предложено много принципов классификации:
1. Классификация ЭВМ по форме представления величин вычислительной машины делят на:
• аналоговые (непрерывного действия) АВМ
• цифровые (дискретного действия) ЦВМ
• аналого-цифровые (гибридные) ГВМ
В АВМ обрабатываемая информация представляется соответствующими значениями аналоговых вычислений: ток, напряжение угол поворота.
В ЦВМ (ЭВМ) информация кодируется двоичным кодом. Широкое применение получили ЦВМ с электрическим представлением дискретной информации – электронные ЦВМ.
2. Классификация ЭВМ по поколениям (по элементарной базе):
• Первое поколение (50г.): ЭВМ на электронных вакуумных лампах.
• Второе поколение (60г.): ЭВМ на дискретных полупроводниковых приборах (транзисторах).
• Третье поколение (70г.): ЭВМ на полупроводниковых интегральных схемах с малой степенью интеграции.
• Четвертое поколение (80г.): ЭВМ на больших интегральных схемах.
• Пятое поколение (90): ЭВМ на сверхбольших интегральных схемах.
• Шестое и последующие поколения: оптоэлектронные ЭВМ с массовым параллелизмом и нейронной структурой – с распределенной степенью большого числа несложных микропроцессоров, моделирующих архитектуру нейронных биологических систем.
Интегральная схема – электронная схема специального назначения, выполненная в виде единого полупроводникового кристалла, объединяющего большое число диодов и транзисторов.
3. Классификация ЭВМ по мощности (быстродействию):
1). Супер-ЭВМ – машины для крупно-маштабных задач (фирма IBM).
2).Большие ЭВМ – машины для территориальных, региональных задач.
3). Средние ЭВМ – машины очень широкого распространения.
4). Малые ЭВМ.
5). ПЭВМ (персональные ЭВМ).
6).Микро ЭВМ и микропроцессоры.
7).Сети ЭВМ.
Требования пользователей к выполнению вычислительных работ определяется подбором и настройкой технических и программных средств объединенных в одну структуру.
Структура ЭВМ – это совокупность ее элементов и их связей. Различают структуры технических, программных и аппаратурно-программных средств.
Архитектура ЭВМ – это многоуровневая иерархия аппаратурно-программных средств, из которых состоит ЭВМ. Каждый из уровней допускает многовариантное построение и применение.
Величина и разнообразие современного парка ЭВМ потребовали системы квалификации ЭВМ. Предложено много принципов классификации:
1. Классификация ЭВМ по форме представления величин вычислительной машины делят на:
• аналоговые (непрерывного действия) АВМ
• цифровые (дискретного действия) ЦВМ
• аналого-цифровые (гибридные) ГВМ
В АВМ обрабатываемая информация представляется соответствующими значениями аналоговых вычислений: ток, напряжение угол поворота.
В ЦВМ (ЭВМ) информация кодируется двоичным кодом. Широкое применение получили ЦВМ с электрическим представлением дискретной информации – электронные ЦВМ.
2. Классификация ЭВМ по поколениям (по элементарной базе):
• Первое поколение (50г.): ЭВМ на электронных вакуумных лампах.
• Второе поколение (60г.): ЭВМ на дискретных полупроводниковых приборах (транзисторах).
• Третье поколение (70г.): ЭВМ на полупроводниковых интегральных схемах с малой степенью интеграции.
• Четвертое поколение (80г.): ЭВМ на больших интегральных схемах.
• Пятое поколение (90): ЭВМ на сверхбольших интегральных схемах.
• Шестое и последующие поколения: оптоэлектронные ЭВМ с массовым параллелизмом и нейронной структурой – с распределенной степенью большого числа несложных микропроцессоров, моделирующих архитектуру нейронных биологических систем.
Интегральная схема – электронная схема специального назначения, выполненная в виде единого полупроводникового кристалла, объединяющего большое число диодов и транзисторов.
3. Классификация ЭВМ по мощности (быстродействию):
1). Супер-ЭВМ – машины для крупно-маштабных задач (фирма IBM).
2).Большие ЭВМ – машины для территориальных, региональных задач.
3). Средние ЭВМ – машины очень широкого распространения.
4). Малые ЭВМ.
5). ПЭВМ (персональные ЭВМ).
6).Микро ЭВМ и микропроцессоры.
7).Сети ЭВМ.
Будем рассматривать историю развития именно вычислительных, а не операционных систем, потому что hardware и программное обеспечение эволюционировали совместно, оказывая взаимное влияние друг на друга. Появление новых технических возможностей приводило к прорыву в области создания удобных, эффективных и безопасных программ, а свежие идеи в программной области стимулировали поиски новых технических решений. Именно эти критерии – удобство, эффективность и безопасность – играли роль факторов естественного отбора при эволюции вычислительных систем.
В данный момент существует множество программных продуктов, автоматизирующих процесс бухгалтерского учета. Однако данные продукты охватывают существенно более широкий спектр областей, чем поставлено в задаче, что негативно влияет на их стоимость и сложность в эксплуатации. В связи с этим принимается решение о разработке узкоспециализированной информационной системы, направленной на решение конкретной задачи - учет заработной платы.
В данной курсовой работе необходимо разработать приложение с использованием программного продукт Microsoft Access 2003 для учета заработной платы сотрудников.
Дано:
Предприятие ООО «TesCom», которое занимается продажей, сборкой компьютерного оборудования, оборудования для ЛВС и оказанием консультаций по использованию персональных компьютеров. Предприятие расположено в городе Москва, основано в 1999 году.
Штат сотрудников: 115 человек.
В данной курсовой работе необходимо разработать приложение с использованием программного продукт Microsoft Access 2003 для учета заработной платы сотрудников.
Дано:
Предприятие ООО «TesCom», которое занимается продажей, сборкой компьютерного оборудования, оборудования для ЛВС и оказанием консультаций по использованию персональных компьютеров. Предприятие расположено в городе Москва, основано в 1999 году.
Штат сотрудников: 115 человек.
В настоящее время среди разработчиков базы данных (БД) большой популярностью пользуется реляционная СУБД ACCESS, входящая в состав пакета Microsoft Office 2003. Дружественный интерфейс и простота настройки, эффективные средства создания таблиц, форм, запросов, интеграция с другими приложениями пакета, средства организации работы с базами данных и защита информации - вот далеко не полный перечень достоинств этого приложения.
Основные функции СУБД – это описание структуры базы данных, обработка данных и управление данными.
База данных – это совокупность сведений о реальных объектах, процессах, событиях или явлениях, относящихся к определённой теме или задаче, организованная таким образом, чтобы обеспечить удобное представление этой совокупности, как в целом, так и любой её части. Реляционная база данных представляет собой множество взаимосвязанных таблиц, каждая из которых содержит информацию об объектах определённого типа. Каждая строка таблицы содержит данные об одном объекте (например, клиенте, автомобиле, документе), а столбцы таблицы содержат различные характеристики этих объектов – атрибуты (например, наименования и адреса клиентов, марки и цены автомобилей). Строки таблицы называются записями, все записи имеют одинаковую структуру – они состоят из полей, в которых хранятся атрибуты объекта. Каждое поле в записи содержит одну характеристику объекта и имеет строго определённый тип данных (например, текстовая строка, число, дата). Все записи имеют одни и те же поля, только в них содержатся разные значения атрибутов.
Любая СУБД позволяет выполнять четыре простейшие операции с данными:
- добавить в таблицу одну или несколько записей;
- удалить из таблицы одну или несколько записей;
- обновить значения некоторых полей в одной или нескольких записях;
- найти одну или несколько записей, удовлетворяющих заданному условию.
Для выполнения этих операций используется механизм запросов. Результатом выполнения запросов является либо отобранное по определённым критериям множество записей, либо изменение в таблицах.
Основные функции СУБД – это описание структуры базы данных, обработка данных и управление данными.
База данных – это совокупность сведений о реальных объектах, процессах, событиях или явлениях, относящихся к определённой теме или задаче, организованная таким образом, чтобы обеспечить удобное представление этой совокупности, как в целом, так и любой её части. Реляционная база данных представляет собой множество взаимосвязанных таблиц, каждая из которых содержит информацию об объектах определённого типа. Каждая строка таблицы содержит данные об одном объекте (например, клиенте, автомобиле, документе), а столбцы таблицы содержат различные характеристики этих объектов – атрибуты (например, наименования и адреса клиентов, марки и цены автомобилей). Строки таблицы называются записями, все записи имеют одинаковую структуру – они состоят из полей, в которых хранятся атрибуты объекта. Каждое поле в записи содержит одну характеристику объекта и имеет строго определённый тип данных (например, текстовая строка, число, дата). Все записи имеют одни и те же поля, только в них содержатся разные значения атрибутов.
Любая СУБД позволяет выполнять четыре простейшие операции с данными:
- добавить в таблицу одну или несколько записей;
- удалить из таблицы одну или несколько записей;
- обновить значения некоторых полей в одной или нескольких записях;
- найти одну или несколько записей, удовлетворяющих заданному условию.
Для выполнения этих операций используется механизм запросов. Результатом выполнения запросов является либо отобранное по определённым критериям множество записей, либо изменение в таблицах.
Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. Так, еще в XVIII веке недоброжелатели известного Джакомо Казановы опубликовали закрытые данные о движении средств по его счету в одном из парижских банков. Из этой информации следовало, что организованная Казановой государственная лотерея приносила доход не только казне, но и (в не меньших масштабах) ему лично [1, с.4].
В настоящее время значение информации, хранимой в банках, значительно увеличилось. Так, недавняя утечка данных о ряде счетов в Bank of England в январе 1999 года заставила банк поменять коды всех корреспондентских счетов, часть оборудования и программного обеспечения и обошлась банку в несколько десятков миллионов долларов. [17, сообщ. за 26.02.99г.]
В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.
Например, в августе 1995 г. в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге сумел проникнуть в банковскую систему одного из крупнейших американских банков Citibank и похитить $2,8 млн. В 1994 году Владимир Левин вместе с приятелем сумел подобрать ключи к системе банковской защиты Citibank и попытался снять с его счетов крупные суммы. По сведениям московского представительства Citibank, до тех пор подобное никому не удавалось. Служба безопасности Citibank выяснила, что у банка пытались похитить $2,8 млн., но контролирующие системы вовремя это обнаружили и заблокировали счета. Украсть же удалось лишь $400 тысяч. Для получения денег Левин выехал в Англию, где и был арестован [17, сообщ. за 01.10.95г.].
Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В настоящее время свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации банка (АСОИБ) [6, с.17]. Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящена большая часть дипломной работы.
Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной[1] безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности АСОИБ требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.
Особенно актуальна данная проблема в России. В западных банках программное обеспечение (ПО) разрабатываются конкретно под каждый банк и устройство АСОИБ во многом является коммерческой тайной. В России получили распространение «стандартные» банковские пакеты, информация о которых широко известна, что облегчает несанкционированный доступ в банковские компьютерные системы. Причем, во-первых, надежность «стандартного» ПО ниже из-за того разработчик не всегда хорошо представляет конкретные условия, в которых этому ПО придется работать, а во-вторых, некоторые российские банковские пакеты не удовлетворяли условиям безопасности. Например, ранние версии (которые и по сей день эксплуатируются в небольших банках) самого популярного российского банковского пакета требовали наличия дисковода у персонального компьютера и использовали ключевую дискету, как инструмент обеспечения безопасности [16]. Такое решение, во-первых, технически ненадежно, а во-вторых, одно из требований безопасности АСОИБ — закрытие дисководов и портов ввода-вывода в компьютерах сотрудников, не работающих с внешними данными.
В связи с вышеизложенным, в настоящей работе основное внимание уделено именно компьютерной безопасности банков, т.е. безопасности автоматизированных систем обработки информации банка (АСОИБ), как наиболее актуальной, сложной и насущной проблеме в сфере банковской информационной безопасности.
В работе рассматриваются особенности информационной безопасности банков, показывается, что именно для банков (в отличие от других предприятий) информационная безопасность имеет решающее значение (глава 1). В главе 2 говорится о развитии банковских информационных технологий, поскольку именно эти технологии во многом определяют систему информационной безопасности банка. Поскольку, по данным статистики [17, сообщ. за 08.12.98г.], наибольшая часть преступлений против банков совершается с использованием инсайдерской информации, то в работе имеется глава 3, посвященная обеспечению информационной безопасности в сфере работы с персоналом.
Остальная часть работы посвящена безопасности АСОИБ и электронных платежей, как ее составной части. В главе 4 анализируются угрозы безопасности АСОИБ и рассматриваются общие принципы построения систем безопасности АСОИБ. В главе 5 описываются специализированные проблемы безопасности банковских компьютерных сетей. Главы 6 и 7 посвящены безопасности электронных платежей.
По мере развития и расширения сферы применения средств вычислительной техники острота проблемы обеспечения безопасности вычислительных систем и защиты хранящейся и обрабатываемой в них информации от различных угроз все более возрастает. Для этого есть целый ряд объективных причин.
Основная из них — возросший уровень доверия к автоматизированным системам обработки информации. Им доверяют самую ответственную работу, от качества которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, движениями самолетов и поездов, выполняют финансовые операции, обрабатывают секретную информацию.
Сегодня проблема защиты вычислительных систем становится еще более значительной в связи с развитием и распространением сетей ЭВМ. Распределенные системы и системы с удаленным доступом выдвинули на первый план вопрос защиты обрабатываемой и передаваемой информации.
Доступность средств вычислительной техники, и прежде всего персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих, в частности банковских, систем, как со злым умыслом, так и из чисто «спортивного интереса». Многие из этих попыток имели успех и нанесли значительный урон владельцам информации и вычислительных систем.
В немалой степени это касается разных коммерческих структур и организаций, особенно тех, кто по роду своей деятельности хранит и обрабатывает ценную (в денежном выражении) информацию, затрагивающую к тому же интересы большого количества людей. В банках, когда дело касается электронных платежей и автоматизированного ведения счетов, такая информация в некотором роде и представляет из себя деньги.
Целостную картину всех возможностей защиты создать довольно сложно, поскольку пока еще нет единой теории защиты компьютерных систем. Существует много подходов и точек зрения на методологию ее построения. Тем не менее, в этом направлении прилагаются серьезные усилия, как в практическом, так и в теоретическом плане, используются самые последние достижения науки, привлекаются передовые технологии. Причем занимаются этой проблемой ведущие фирмы по производству компьютеров и программного обеспечения, университеты и институты, а также крупные банки и международные корпорации.
Известны различные варианты защиты информации — от охранника на входе до математически выверенных способов сокрытия данных от ознакомления. Кроме того, можно говорить о глобальной защите и ее отдельных аспектах: защите персональных компьютерах, сетей, баз данных и др.
Необходимо отметить, что абсолютно защищенных систем нет. Можно говорить о надежности системы, во-первых, лишь с определенной вероятностью, а во-вторых, о защите от определенной категории нарушителей. Тем не менее проникновения в компьютерную систему можно предусмотреть. Защита — это своего рода соревнование обороны и нападения: кто больше знает и предусматривает действенные меры — тот и выиграл.
Организация защиты АСОИБ — это единый комплекс мер, которые должны учитывать все особенности процесса обработки информации. Несмотря на неудобства, причиняемые пользователю во время работы, во многих случаях средства защиты могут оказаться совершенно необходимыми для нормального функционирования системы. К основным из упомянутых неудобств следует отнести:
1. Дополнительные трудности работы с большинством защищенных систем.
2. Увеличение стоимости защищенной системы.
3. Дополнительная нагрузка на системные ресурсы, что потребует увеличения рабочего времени для выполнения одного и того же задания в связи с замедлением доступа к данным и выполнения операций в целом.
4. Необходимость привлечения дополнительного персонала, отвечающего за поддержание работоспособности системы защиты.
Что же касается необходимости применения защиты, то здесь принцип «пока гром не грянет, мужик не перекрестится» себя не оправдывает. Информация может иметь слишком большую ценность, чтобы рисковать ею, а непреложная истина: «кто владеет информацией — тот владеет миром», большей частью вполне себя оправдывает.
Современный банк трудно представить себе без автоматизированной информационной системы. Компьютер на столе банковского служащего уже давно превратился в привычный и необходимый инструмент. Связь компьютеров между собой и с более мощными компьютерами, а также с ЭВМ других банков — также необходимое условие успешной деятельности банка — слишком велико количество операций, которые необходимо выполнить в течении короткого периода времени.
В то же время информационные системы становятся одной из наиболее уязвимых сторон современного банка, притягивая к себе злоумышленников как из числа персонала банка, так и со стороны. Оценки потерь от преступлений, связанных с вмешательством в деятельность информационной системы банков, очень сильно разнятся. Сказывается разнообразие методик для их подсчета. Средняя банковская кража с применением электронных средств составляет около $9.000, а один из самых громких скандалов связан с попыткой украсть $700 млн. (Первый национальный банк, Чикаго). [3, с.56]
Причем необходимо учитывать не только суммы прямого ущерба, но и весьма дорогостоящие мероприятия, которые проводятся после успешных попыток взлома компьютерных систем. Так, недавняя пропажа данных о работе с секретными счетами Bank of England в январе 1999 года заставила банк поменять коды всех корреспондентских счетов. В этой связи в Великобритании были подняты по тревоге все имеющиеся силы разведки и контрразведки для того, чтобы не допустить невероятной утечки информации, способной нанести огромный ущерб. Правительством предпринимались крайние меры с тем, чтобы посторонним не стали известны счета и адреса, по которым Bank of England направляет ежедневно сотни миллиардов долларов. Причем в Великобритании больше опасались ситуации, при которой данные могли оказаться в распоряжении иностранных спецслужб. В таком случае была бы вскрыта вся финансовая корреспондентская сеть Bank of England. Возможность ущерба была ликвидирована в течение нескольких недель. [17, сообщ. за 26.02.99г.]
Услуги, предоставляемые банками сегодня, в немалой степени основаны на использовании средств электронного взаимодействия банков между собой, банков и их клиентов и торговых партнеров. В настоящее время доступ к услугам банков стал возможен из различных удаленных точек, включая домашние терминалы и служебные компьютеры. Этот факт заставляет отойти от концепции «запертых дверей», которая была характерна для банков 60-х годов, когда компьютеры использовались в большинстве случаев в пакетном режиме как вспомогательное средство и не имели связи с внешним миром.
Компьютерные системы, без которых не может обойтись ни один современный банк, — источник совершенно новых, ранее неизвестных угроз. Большинство из них обусловлено использованием в банковском деле новых информационных технологий и характерны не только для банков. При этом следует помнить, что во многих странах, несмотря на все увеличивающуюся роль электронных систем обработки, объем операций с бумажными документами в 3-4 раза выше, чем с их электронными аналогами.
Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг.
Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль.
В то же время, АСОИБ банка становится одним из наиболее уязвимых мест во всей организации, притягивающей злоумышленников, как извне, так и из числа сотрудников самого банка. Для подтверждения этого тезиса можно привести несколько фактов:
* Потери банков и других финансовых организаций от воздействий на их системы обработки информации составляют около $3 млрд. в год.
* Объем потерь, связанных с использованием пластиковых карточек оценивается в $2 млрд. в год, что составляет 0.03-2% от общего объема платежей в зависимости от используемой системы.
* Средняя величина ущерба от банковской кражи с применением электронных средств составляет около $9.000. [3, с.60]
* Один из самых громких скандалов связан с попыткой семерых человек украсть $700 млн. в Первом национальном банке, Чикаго. Она была предотвращена ФБР.
* 27 млн. фунтов стерлингов были украдены из Лондонского отделения Union Bank of Switzerland;
* DM 5 млн. украдены из Chase Bank (Франкфурт); служащий перевел деньги в банк Гонконга; они были взяты с большого количества счетов (атака «салями»), кража оказалась успешной;
* $3 млн. — банк Стокгольма, кража была совершена с использованием привилегированного положения нескольких служащих в информационной системе банка и также оказалась успешной. [10]
Чтобы обезопасить себя и своих клиентов, большинство банков предпринимают необходимые меры защиты, в числе которых защита АСОИБ занимает не последнее место. При этом необходимо учитывать, что защита АСОИБ банка — дорогостоящее и сложное мероприятие. Так, например, Barclays Bank тратит на защиту своей автоматизированной системы около $20 млн. ежегодно. [13]
В первой половине 1994 г. Datapro Information Services Group провела почтовый опрос среди случайно выбранных менеджеров информационных систем. Целью опроса явилось выяснение состояния дел в области защиты. Было получено 1.153 анкеты, на основе которых получены приводимые ниже результаты [2, с.101]:
* около 25% всех нарушений составляют стихийные бедствия;
* около половины систем испытывали внезапные перерывы электропитания или связи, причины которых носили искусственный характер;
* около 3% систем испытывали внешние нарушения (проникновение в систему организации);
* 70-75% - внутренние нарушения, из них:
- 10% совершены обиженными и недовольными служащими-пользователями АСОИБ банка;
- 10% - совершены из корыстных побуждений персоналом системы;
- 50-55% - результат неумышленных ошибок персонала и/или пользователей системы в результате небрежности, халатности или некомпетентности.
Эти данные свидетельствуют о том, что чаще всего происходят не такие нарушения, как нападения хакеров или кража компьютеров с ценной информацией, а самые обыкновенные, проистекающие из повседневной деятельности. В то же время именно умышленные атаки на компьютерные системы приносят наибольший единовременный ущерб, а меры защиты от них наиболее сложны и дорогостоящи. В этой связи проблема оптимизации защиты АСОИБ является наиболее актуальной в сфере информационной безопасности банков.
В настоящее время значение информации, хранимой в банках, значительно увеличилось. Так, недавняя утечка данных о ряде счетов в Bank of England в январе 1999 года заставила банк поменять коды всех корреспондентских счетов, часть оборудования и программного обеспечения и обошлась банку в несколько десятков миллионов долларов. [17, сообщ. за 26.02.99г.]
В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков многократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.
Например, в августе 1995 г. в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге сумел проникнуть в банковскую систему одного из крупнейших американских банков Citibank и похитить $2,8 млн. В 1994 году Владимир Левин вместе с приятелем сумел подобрать ключи к системе банковской защиты Citibank и попытался снять с его счетов крупные суммы. По сведениям московского представительства Citibank, до тех пор подобное никому не удавалось. Служба безопасности Citibank выяснила, что у банка пытались похитить $2,8 млн., но контролирующие системы вовремя это обнаружили и заблокировали счета. Украсть же удалось лишь $400 тысяч. Для получения денег Левин выехал в Англию, где и был арестован [17, сообщ. за 01.10.95г.].
Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В настоящее время свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации банка (АСОИБ) [6, с.17]. Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящена большая часть дипломной работы.
Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной[1] безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности АСОИБ требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.
Особенно актуальна данная проблема в России. В западных банках программное обеспечение (ПО) разрабатываются конкретно под каждый банк и устройство АСОИБ во многом является коммерческой тайной. В России получили распространение «стандартные» банковские пакеты, информация о которых широко известна, что облегчает несанкционированный доступ в банковские компьютерные системы. Причем, во-первых, надежность «стандартного» ПО ниже из-за того разработчик не всегда хорошо представляет конкретные условия, в которых этому ПО придется работать, а во-вторых, некоторые российские банковские пакеты не удовлетворяли условиям безопасности. Например, ранние версии (которые и по сей день эксплуатируются в небольших банках) самого популярного российского банковского пакета требовали наличия дисковода у персонального компьютера и использовали ключевую дискету, как инструмент обеспечения безопасности [16]. Такое решение, во-первых, технически ненадежно, а во-вторых, одно из требований безопасности АСОИБ — закрытие дисководов и портов ввода-вывода в компьютерах сотрудников, не работающих с внешними данными.
В связи с вышеизложенным, в настоящей работе основное внимание уделено именно компьютерной безопасности банков, т.е. безопасности автоматизированных систем обработки информации банка (АСОИБ), как наиболее актуальной, сложной и насущной проблеме в сфере банковской информационной безопасности.
В работе рассматриваются особенности информационной безопасности банков, показывается, что именно для банков (в отличие от других предприятий) информационная безопасность имеет решающее значение (глава 1). В главе 2 говорится о развитии банковских информационных технологий, поскольку именно эти технологии во многом определяют систему информационной безопасности банка. Поскольку, по данным статистики [17, сообщ. за 08.12.98г.], наибольшая часть преступлений против банков совершается с использованием инсайдерской информации, то в работе имеется глава 3, посвященная обеспечению информационной безопасности в сфере работы с персоналом.
Остальная часть работы посвящена безопасности АСОИБ и электронных платежей, как ее составной части. В главе 4 анализируются угрозы безопасности АСОИБ и рассматриваются общие принципы построения систем безопасности АСОИБ. В главе 5 описываются специализированные проблемы безопасности банковских компьютерных сетей. Главы 6 и 7 посвящены безопасности электронных платежей.
По мере развития и расширения сферы применения средств вычислительной техники острота проблемы обеспечения безопасности вычислительных систем и защиты хранящейся и обрабатываемой в них информации от различных угроз все более возрастает. Для этого есть целый ряд объективных причин.
Основная из них — возросший уровень доверия к автоматизированным системам обработки информации. Им доверяют самую ответственную работу, от качества которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, движениями самолетов и поездов, выполняют финансовые операции, обрабатывают секретную информацию.
Сегодня проблема защиты вычислительных систем становится еще более значительной в связи с развитием и распространением сетей ЭВМ. Распределенные системы и системы с удаленным доступом выдвинули на первый план вопрос защиты обрабатываемой и передаваемой информации.
Доступность средств вычислительной техники, и прежде всего персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих, в частности банковских, систем, как со злым умыслом, так и из чисто «спортивного интереса». Многие из этих попыток имели успех и нанесли значительный урон владельцам информации и вычислительных систем.
В немалой степени это касается разных коммерческих структур и организаций, особенно тех, кто по роду своей деятельности хранит и обрабатывает ценную (в денежном выражении) информацию, затрагивающую к тому же интересы большого количества людей. В банках, когда дело касается электронных платежей и автоматизированного ведения счетов, такая информация в некотором роде и представляет из себя деньги.
Целостную картину всех возможностей защиты создать довольно сложно, поскольку пока еще нет единой теории защиты компьютерных систем. Существует много подходов и точек зрения на методологию ее построения. Тем не менее, в этом направлении прилагаются серьезные усилия, как в практическом, так и в теоретическом плане, используются самые последние достижения науки, привлекаются передовые технологии. Причем занимаются этой проблемой ведущие фирмы по производству компьютеров и программного обеспечения, университеты и институты, а также крупные банки и международные корпорации.
Известны различные варианты защиты информации — от охранника на входе до математически выверенных способов сокрытия данных от ознакомления. Кроме того, можно говорить о глобальной защите и ее отдельных аспектах: защите персональных компьютерах, сетей, баз данных и др.
Необходимо отметить, что абсолютно защищенных систем нет. Можно говорить о надежности системы, во-первых, лишь с определенной вероятностью, а во-вторых, о защите от определенной категории нарушителей. Тем не менее проникновения в компьютерную систему можно предусмотреть. Защита — это своего рода соревнование обороны и нападения: кто больше знает и предусматривает действенные меры — тот и выиграл.
Организация защиты АСОИБ — это единый комплекс мер, которые должны учитывать все особенности процесса обработки информации. Несмотря на неудобства, причиняемые пользователю во время работы, во многих случаях средства защиты могут оказаться совершенно необходимыми для нормального функционирования системы. К основным из упомянутых неудобств следует отнести:
1. Дополнительные трудности работы с большинством защищенных систем.
2. Увеличение стоимости защищенной системы.
3. Дополнительная нагрузка на системные ресурсы, что потребует увеличения рабочего времени для выполнения одного и того же задания в связи с замедлением доступа к данным и выполнения операций в целом.
4. Необходимость привлечения дополнительного персонала, отвечающего за поддержание работоспособности системы защиты.
Что же касается необходимости применения защиты, то здесь принцип «пока гром не грянет, мужик не перекрестится» себя не оправдывает. Информация может иметь слишком большую ценность, чтобы рисковать ею, а непреложная истина: «кто владеет информацией — тот владеет миром», большей частью вполне себя оправдывает.
Современный банк трудно представить себе без автоматизированной информационной системы. Компьютер на столе банковского служащего уже давно превратился в привычный и необходимый инструмент. Связь компьютеров между собой и с более мощными компьютерами, а также с ЭВМ других банков — также необходимое условие успешной деятельности банка — слишком велико количество операций, которые необходимо выполнить в течении короткого периода времени.
В то же время информационные системы становятся одной из наиболее уязвимых сторон современного банка, притягивая к себе злоумышленников как из числа персонала банка, так и со стороны. Оценки потерь от преступлений, связанных с вмешательством в деятельность информационной системы банков, очень сильно разнятся. Сказывается разнообразие методик для их подсчета. Средняя банковская кража с применением электронных средств составляет около $9.000, а один из самых громких скандалов связан с попыткой украсть $700 млн. (Первый национальный банк, Чикаго). [3, с.56]
Причем необходимо учитывать не только суммы прямого ущерба, но и весьма дорогостоящие мероприятия, которые проводятся после успешных попыток взлома компьютерных систем. Так, недавняя пропажа данных о работе с секретными счетами Bank of England в январе 1999 года заставила банк поменять коды всех корреспондентских счетов. В этой связи в Великобритании были подняты по тревоге все имеющиеся силы разведки и контрразведки для того, чтобы не допустить невероятной утечки информации, способной нанести огромный ущерб. Правительством предпринимались крайние меры с тем, чтобы посторонним не стали известны счета и адреса, по которым Bank of England направляет ежедневно сотни миллиардов долларов. Причем в Великобритании больше опасались ситуации, при которой данные могли оказаться в распоряжении иностранных спецслужб. В таком случае была бы вскрыта вся финансовая корреспондентская сеть Bank of England. Возможность ущерба была ликвидирована в течение нескольких недель. [17, сообщ. за 26.02.99г.]
Услуги, предоставляемые банками сегодня, в немалой степени основаны на использовании средств электронного взаимодействия банков между собой, банков и их клиентов и торговых партнеров. В настоящее время доступ к услугам банков стал возможен из различных удаленных точек, включая домашние терминалы и служебные компьютеры. Этот факт заставляет отойти от концепции «запертых дверей», которая была характерна для банков 60-х годов, когда компьютеры использовались в большинстве случаев в пакетном режиме как вспомогательное средство и не имели связи с внешним миром.
Компьютерные системы, без которых не может обойтись ни один современный банк, — источник совершенно новых, ранее неизвестных угроз. Большинство из них обусловлено использованием в банковском деле новых информационных технологий и характерны не только для банков. При этом следует помнить, что во многих странах, несмотря на все увеличивающуюся роль электронных систем обработки, объем операций с бумажными документами в 3-4 раза выше, чем с их электронными аналогами.
Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг.
Чем меньше времени будут занимать расчеты между банком и клиентами, тем выше станет оборот банка и, следовательно, прибыль. Кроме того, банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысить прибыль.
В то же время, АСОИБ банка становится одним из наиболее уязвимых мест во всей организации, притягивающей злоумышленников, как извне, так и из числа сотрудников самого банка. Для подтверждения этого тезиса можно привести несколько фактов:
* Потери банков и других финансовых организаций от воздействий на их системы обработки информации составляют около $3 млрд. в год.
* Объем потерь, связанных с использованием пластиковых карточек оценивается в $2 млрд. в год, что составляет 0.03-2% от общего объема платежей в зависимости от используемой системы.
* Средняя величина ущерба от банковской кражи с применением электронных средств составляет около $9.000. [3, с.60]
* Один из самых громких скандалов связан с попыткой семерых человек украсть $700 млн. в Первом национальном банке, Чикаго. Она была предотвращена ФБР.
* 27 млн. фунтов стерлингов были украдены из Лондонского отделения Union Bank of Switzerland;
* DM 5 млн. украдены из Chase Bank (Франкфурт); служащий перевел деньги в банк Гонконга; они были взяты с большого количества счетов (атака «салями»), кража оказалась успешной;
* $3 млн. — банк Стокгольма, кража была совершена с использованием привилегированного положения нескольких служащих в информационной системе банка и также оказалась успешной. [10]
Чтобы обезопасить себя и своих клиентов, большинство банков предпринимают необходимые меры защиты, в числе которых защита АСОИБ занимает не последнее место. При этом необходимо учитывать, что защита АСОИБ банка — дорогостоящее и сложное мероприятие. Так, например, Barclays Bank тратит на защиту своей автоматизированной системы около $20 млн. ежегодно. [13]
В первой половине 1994 г. Datapro Information Services Group провела почтовый опрос среди случайно выбранных менеджеров информационных систем. Целью опроса явилось выяснение состояния дел в области защиты. Было получено 1.153 анкеты, на основе которых получены приводимые ниже результаты [2, с.101]:
* около 25% всех нарушений составляют стихийные бедствия;
* около половины систем испытывали внезапные перерывы электропитания или связи, причины которых носили искусственный характер;
* около 3% систем испытывали внешние нарушения (проникновение в систему организации);
* 70-75% - внутренние нарушения, из них:
- 10% совершены обиженными и недовольными служащими-пользователями АСОИБ банка;
- 10% - совершены из корыстных побуждений персоналом системы;
- 50-55% - результат неумышленных ошибок персонала и/или пользователей системы в результате небрежности, халатности или некомпетентности.
Эти данные свидетельствуют о том, что чаще всего происходят не такие нарушения, как нападения хакеров или кража компьютеров с ценной информацией, а самые обыкновенные, проистекающие из повседневной деятельности. В то же время именно умышленные атаки на компьютерные системы приносят наибольший единовременный ущерб, а меры защиты от них наиболее сложны и дорогостоящи. В этой связи проблема оптимизации защиты АСОИБ является наиболее актуальной в сфере информационной безопасности банков.
Наши гарантии:
Финансовая защищенность
Опытные специалисты
Тщательная проверка качества
Тайна сотрудничества