Смекни!
smekni.com

Программно-аппаратный комплекс “фпсу-ip/Клиент” 18 4 Недостатки технологии 21 Глава Анализ возможных рисков и подходящих технологий программной и аппаратной защиты 25 1 Анализ рисков 25 (стр. 4 из 10)

В среднем за месяц ломалось около 10 ключей. Соответственно, банк тратил 10*2500 = 25 000 руб. на их замену. Так же есть определенные затраты на доставку ключей.

После поломки ключа, прекращается работа торговой точки, до момента новой активации ключа. И в это время банк несет значительные потери из-за утраты потенциальных заемщиков. Активация ключа занимает примерно 1 рабочую смену.

Минимальные потери прибыли при остановке ТТ. Одна ТТ в Тюмени в день выдает минимум 5 кредитов. Средняя сумма кредита 15000 рублей. Возьмем к примеру акцию 10-10-10. 10 – срок кредита, 10 – проценты, 10 – первоначальный взнос. Если одна из точек приостановит выдачу кредитов, то банк потеряет:

X = Y * S * 10%;

X = 5 * 15000 *10% = 7500 рублей.

X – потери банка,

Y – количество кредитов,

S – сумма кредита.

Из этой формулы видно сколько потеряет банк если остановится одна точка, выдающая минимум кредитов. Но есть точки которые в день выдаю по 30 кредитов и средний чек больше в 3 раза. Акции по которым выдаются кредиты тоже разные, соответственно процентные ставки тоже различаются.

Средний чек – это сумма, которая рассчитывается на основе всех выданных кредитов за день на ТТ, среднее.

Таблица 2. Полный функциональный набор, необходимый для работы ключей на ТТ.

Аппаратно-программный комплекс “ФПСУ-IP”, подготовленный к работе в режиме «горячего» резервирования

119109,20

Аппаратно-программный комплекс ФПСУ-IP

65596,20

ПАК «Удаленный администратор ФПСУ-IP»

30066,40

Встраиваемый в комплекс “ФПСУ-IP” модуль-агент подсистемы удаленного управления

6018,00

Встраиваемый в комплекс “ФПСУ-IP” модуль-агент подсистемы защищенного управления «пограничными» маршрутизаторами

2708,10

Встраиваемый в комплекс “ФПСУ-IP” модуль-агент подсистемы разделения IP-потоков на независимые туннели.

1805,40

Встраиваемый в комплекс “ФПСУ-IP” сервер доступа и обслуживания комплексов «ФПСУ-IP/Клиент»

.

12036,00

Встраиваемая подсистема «RS-Key» для автозапуска комплексов «ФПСУ-IP» после перерывов питания

1590,05

Центр генерации ключей ФПСУ-IP

13924,00

Центр генерации ключей клиентов

13924,00

Комплекс «ФПСУ-IP/Клиент» на базе устройства «VPN-key»

2891,00

Глава 2. Анализ возможных рисков и подходящих технологий программной и аппаратной защиты

2.1 Анализ рисков

Для кредитно-финансовой сферы понятия "оценка и управление рисками" сложились достаточно давно, и под рисками, прежде всего, понимались финансовые риски (кредитный риск, риск потери ликвидности и т.п.). В этой области проведена большая работа и накоплен значительный опыт. При рассмотрении рисков информационной безопасности (ИБ) возникает естественное желание воспользоваться указанным опытом. Обычно исходят из того, что уровень риска зависит от вероятности реализации определенной угрозы в отношении определенного объекта, а также от величины возможного ущерба. Таким образом, суть управления рисками состоит в оценке их размера, выработке эффективных и экономичных мер их снижения, а также в установлении приемлемых рамок для них. Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

- (пере)оценка (измерение) рисков;

- выбор эффективных и экономичных защитных средств (нейтрализация рисков).

Этапы процесса управления рисками.

Процесс управления рисками можно разделить на следующие этапы:

- выбор анализируемых объектов и уровня детализации их рассмотрения;

- выбор методологии оценки рисков;

- идентификация активов;

- анализ угроз и их последствий, выявление уязвимых мест в защите;

- оценка рисков;

- выбор ответных мер;

- реализация и проверка выбранных мер;

- оценка остаточного риска.

От последнего этапа в случае неприемлемости остаточного риска происходит возврат к началу.

Основные угрозы банковским Информационным вычислительным сетям (ИВС)

Считается, что основная угроза ИВС исходит извне. Безусловно, банк должен уметь защищаться от внешних информационных атак. Но практика показала, что более чем в 70% случаев нарушение информационной защиты осуществлялось изнутри, собственным персоналом банка. Политика безопасности должна учитывать это: следует руководствоваться принципом минимальных привилегий (знай только то, что необходимо для твоей работы), разделением секретов и полномочий. Многочисленные попытки взломов и успешные нападения на банковские вычислительные сети остро ставят проблему обеспечения информационной безопасности. Среди связей, устанавливаемых ИВС, выделим следующие:

внешние:

платежная система;

банк—клиент (банк—банк);

Интернет—клиент;

интернет-трейдинг;

внутренние:

офис — удаленный менеджер;

головной офис — региональные офисы/отделения.

Доступ к сервисам, которые предоставляет данное программное обеспечение, осуществляется через сети общего доступа, использование которых таит в себе многочисленные информационные угрозы. Наиболее распространенные из них:

- отказ в обслуживании;

- перехват и подмена трафика (подделка платежных поручений, атака типа «человек посередине»);

- несанкционированный доступ к ресурсам и данным системы:

- подбор пароля;

- взлом систем защиты и администрирования;

- маскарад (действия от чужого имени);

- IP-спуфинг (подмена сетевых адресов);

- сканирование сетей / сетевая разведка.

Можно указать следующие причины, приводящие к появлению подобных уязвимостей:

- неполная реализация или неверная модель политики безопасности;

- недостаточный уровень проверки участников соединения;

- отсутствие гарантии конфиденциальности и целостности передаваемых данных;

- уязвимости при управлении ключами;

- отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);

- имеющиеся уязвимости используемых операционных систем (ОС), ПО, СУБД, web- систем и сетевых протоколов;

- проблемы при построении межсетевых фильтров;

- непрофессиональное и слабое администрирование систем;

- сговор сотрудников банка с внешним злоумышленником;

- сбои в работе компонентов системы или их низкая производительность.

Компьютерные преступления

В настоящее время широко распространены преступления с использованием компьютеров. Постоянные публикации в мировой печати не дают забыть о существующей серьезной проблеме. По данным МВД, за первое полугодие 2009 г. раскрыто 4608 преступлений в области компьютерной информации, и это только видимая часть айсберга- большая часть преступлений не предается огласке исходя из интересов хозяйствующих субъектов- собственников информации.

Мошенничество

Определение кредитоспособности потенциального Клиента с целью обеспечения возвратности и срочности кредита включает мероприятия, направленные на предотвращение мошенничества со стороны недобросовестных Клиентов, а именно определение подлинности, предъявляемых потенциальным Клиентом, документов в соответствии с условиями кредитования Банка. Основным документом, удостоверяющим личность гражданина России, является общегражданский паспорт. Способы подделки документа: ЧАСТИЧНАЯ ПОДДЕЛКА представляет собой такой вид подделки, когда в реквизиты подлинного документа вносятся изменения, дополнения или производится замена какой-либо его части. К основным способам частичной подделки документов относятся:

- механическая подчистка текста;

- подделка оттисков печатей, штампов и подписей;

- дописки, допечатки и исправления в текстах;

- замена фотокарточки;

- замена фрагментов документа;

Правило, по которому банк должен докладывать обо всех случаях криминальной деятельности, может не отвечать интересам банка, тем более если преступление совершено собственными сотрудниками. Имидж часто дороже причиненного ущерба, который можно списать на убытки. Однако если начнутся разбирательства, то сокрытые факты могут обернуться еще большими затратами и моральными потерями.

Правила политики безопасности должны устанавливать, о чем следует докладывать, а о чем — нет. Данные правила должны обсуждаться на высшем уровне исполнительного руководства, которое и несет ответственность при возникновении проблем.