Интернет предоставляет банкам великолепные возможности, среди которых видеоконференции, электронная почта, реклама, поиск клиентов по Сети и многое другое, причем все средства сравнительно недороги. Но вместе с этим очень остро стоит проблема защиты данных.

В современном мире невозможно выделить неограниченное количество финансов и человеческих ресурсов на обеспечение безопасности. Однако банки стараются рационально походить к вопросу финансирования мер обеспечения безопасности, при этом сокращение экономических затрат не должно сказаться на стабильной работе банка. Эта актуальная тема является базовой в представляемой вашему вниманию работе.

Невозможно создать абсолютно надежную систему безопасности — в основном из-за того, что постоянно разрабатываются новые виды реализации угроз, которым система не сможет противостоять, а также из-за того, что эффективность системы защиты зависит от обслуживающего персонала, а человеку свойственно ошибаться. Стоимость преодоления защиты от угроз должна быть больше стоимости достигаемого эффекта при ее успешном преодолении, при этом надо отметить, что со временем информация теряет свою ценность. В любом случае стоимость средств обеспечения безопасности должна соответствовать риску и прибыли для той среды, в которой работает банк.

Необходимо защищать все субъекты и объекты банковской информационной вычислительной сети (ИВС) от возможного ущерба: ошибок персонала, сбоев в программном и аппаратном обеспечении, преднамеренных действий злоумышленников, вторжений на территорию банка, его отделений и филиалов.

Несколько слов о предприятии на котором была пройдена преддипломная практика. ОАО «Альфа-банк»- это крупнейший частный банк России, предоставляющий полный комплекс услуг корпоративным и частным Клиентам, который был основан в 1990 году.

Практика проходила в блоке розничный бизнес, по направлению потребительское кредитование. Основными аспектами работы в данном направлении является выдача потребительских кредитов. Существует два направления: Альфа- партнеры и Торговые Точки (ТТ). Альфа- партнеры- это организации, заключившие договор с банком, и продающие свои товары или услуги в кредит. Кредит выдает работник магазина, специально обученный в банке. Торговые точки отличаются тем, что на них установлено оборудование банка и сидит сотрудник банка, обученный выдавать кредиты.

На торговых точках и у Альфа- партнеров используется технология ФПСУ ключей.

В связи с наступившим экономическим кризисом, многие организации придерживаются стратегии сокращения количества сотрудников и урезания заработной платы. Политика Альфа-Банка направлена на оптимизацию расходов, в том числе и на обеспечение безопасности. Стало нецелесообразно использовать ключи фпсу из-за больших экономических затрат, связанных с закупкой ключей, частых поломок, а так же проблем с настройкой и открытием доступа для ФПСУ ключей. Безопасность данных в открытых информационных сетях, таких как Интернет, всегда будет источником серьезного беспокойства для разработчиков и клиентов. Поэтому для любого используемого продукта крайне важно создать безопасную среду исполнения.

Исходя из этого, цель моей дипломной работы -Разработка технологии защищенного доступа к программному комплексу банка.

Для достижения поставленной цели было решено выполнить следующие задачи:

Анализ существующей технологии доступа;

• Анализ возможных рисков и подходящих технологий программной и аппаратной защиты.

• Оценка экономической эффективности.

• Разработка и внедрение технологии защищенного доступа.

Давайте более подробно это все рассмотрим.

Глава 1 Анализ политики безопасности ОАО «Альфа-банк»

Политика информационной безопасности (далее — ПИБ) — важный стратегический инструмент защиты критического бизнес- ресурса любого банка, его конфиденциальной информации. Для построения всеобъемлющей ПИБ, экономически эффективной и адекватной интересам банка, необходим комплексный, системный подход. ПИБ должна разрабатываться профессионалами информационной безопасности в тесном взаимодействии с ведущими аналитиками, ИТ- специалистами и руководством банка.

1.1. Основы политики безопасности банка

Безопасность банка, как и любого экономического хозяйствующего субъекта бизнеса, складывается из многих составляющих, среди которых можно выделить: стратегию работы с клиентами, сохранение собственного персонала (уровень лояльности), работу с партнерами и конкурентами. Предотвращение использования кредитных организаций в недобросовестной коммерческой практике является одной из приоритетных задач в развитии банковского сектора. Для выявления и пресечения деятельности отдельных экономических субъектов, вовлекающих банковскую систему в криминальную деятельность и использующих ее в целях отмывания преступных доходов, необходимо взаимодействие банков с органами финансового надзора.

Для любого банка критически важным ресурсом ведения бизнеса является информация. Банковская информация сохраняется в корпоративных сетях банка, а также передается по внешним, неконтролируемым вычислительным сетям общего доступа (например, по Интернету). Огромная доля коммерческой информации сосредотачивается в информационной вычислительной системе (ИВС) банка. Данные из ИВС используются операторами, менеджерами, а также партнерами и клиентами посредством web- представительства банка в Интернете.

Любые действия пользователей на компьютерах и в сетях приводят к перемещению или к обработке информации. Кроме того, информация может просто находиться в стадии хранения. Любое финансовое учреждение занимается сбором и обработкой данных независимо от своих функций и целей. Кредитные организации принимают во внимание важные аспекты обработки данных в своих операциях, включая различные виды учета, автоматизацию производства, аналитическую и управленческую деятельность.

Руководство банка должно понимать важность обеспечения безопасности информационных ресурсов и иметь представление о том, какие правила информационной безопасности необходимы для эффективного баланса между защитой и оперативностью функционирования организации.

Относительно каждого банковского процесса информационное воздействие происходит в двух направлениях: «сверху» и «снизу», с «внешней» и «внутренней» стороны. Например, законы государства, определяющие банковское регулирование, действуют на конкретный банковский процесс «сверху», оговаривая рамки свободной деятельности банка при проведении операций. В каждом банке своя структура подразделений, где действуют свои внутренние технологии и инструкции, задача которых направлять процессы к целевым потребностям. К внешнему сектору информации относятся данные о банковских процессах, которые сформированы внешними регулирующими органами (законы, нормативные акты Банка России и т. п.). К внутреннему сектору информации относятся данные об организации и ведении процессов, сформированные внутри самого банка. В первую очередь банковская ИВС предназначена для поддержки бизнеса банка. Выделим основные направления деятельности банка, поддерживающиеся ИВС:

· управление деятельностью банка, реализация бизнес-логики, контроль, учет, в том числе налоговый, и отчетность;

· ритейл (розничные услуги), депозиты и кредитование;

· кассовые операции;

· дилинговые операции;

· операции на фондовом рынке, работа банка с ценными бумагами, инвестиционно- фондовые услуги;

· внутрихозяйственная деятельность;

· дистанционное банковское обслуживание, электронные банковские услуги;

· консультационные услуги;

· расчетное обслуживание и платежная система (карточные продукты), клиринговые услуги;

· интеграция бэк- офиса банка с его внешними операциями;

· управление рисками и стратегическое планирование;

· комиссионные операции;

· страховые услуги;

· инкассация, факторинг, лизинг, трастовые операции, гарантии;

· программы лояльности клиентов, маркетинговая, рекламная и PR-службы.

Таким образом, банковская ИВС является сложносоставным комплексом, действующим в гетерогенной вычислительной сети. Необходимость функционирования в общедоступных сетях одновременно с требованием открытости информации для внешних пользователей банковской ИВС (клиентов, контрагентов, партнеров...) обуславливает возникновение множества проблем при решении задачи обеспечения информационной безопасности. Необходимо обеспечивать разделение доступа к информации, защиту хранящихся и передаваемых данных от перехвата, раскрытия, модификации/уничтожения. Важной задачей поддержки бизнеса является постоянное обеспечение работоспособности системы, для чего необходимо применять методы защиты от наиболее распространенных и простых в исполнении атак типа «отказ в доступе».