2.Угрозы целостности данных, программ, аппаратуры. При несанкционированном уничтожении, добавлении лишних элементов и модификации данных, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, активной ретрансляции сообщений с их задержкой. Целостность аппаратуры нарушается при ее повреждении, похищении или незаконном изменении алгоритмов работы.
3.Угрозы доступности данных. Когда объект (пользователь или процесс ) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации. Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и поэтому будет влиять на достоверность и своевременность доставки платежных документов.
4.Угрозы отказа от выполнения транзакций. Когда легальный пользователь выполняет транзакции (передает или принимает платежные документы) в системе, а затем отрицает свое участие в них, чтобы снять с себя ответственность.
35. Наиболее распространенные угрозы безопасности АБС.
Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случ. или преднамер. изменению или уничтожению.
К наиболее распространенным угрозам безопасности относят:
Несанкционированный доступ ( НСД ) - наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к объекту, на который у него нет разреш-я в соответствии с принятой в организации политикой безопасности. Самое сложное- определить, кто и к каким данным может иметь доступ, а кто- нет.
Незаконное использование привилегий - злоумышленники используют штатное прогр. обеспечение, функционирующее в нештатном режиме. Незаконный захват привилегий возможен либо при наличии ошибок в самой системе защиты, либо в случае халатности при управлении системой и привилегиями. Чтобы избежать таких нарушений- строго соблюдать правила управления системой защиты, принцип минимума привилегий.
Атаки “салями” - характерны для систем, обрабатывающих денежные счета. Принцип атак: при обработке счетов используются целые единицы (рубли, копейки), а при исчислении процентов нередко получаются дробные суммы.
“Скрытые каналы” - пути передачи информации между процессами системы, нарушающие системную политику безопасности. В среде с разделением доступа к информации пользователь может не получить разрешение на обработку интересующих его данных, однако может придумать для этого обходные пути. “Скрытые каналы” могут быть реализованы различными путями, в том числе и при помощи программных закладок (“троянский конь”).
“Маскарад” означает выполнение каких-либо действий одним пользователем банковской электронной системы от имени другого пользователя. Такие действия другому пользователю могут быть разрешены. Нарушение заключается в присвоении прав и привилегий. Наиболее опасен “маскарад” в банковских электронных системах платежей, где неправильная идентификация клиента может привести к огромным убыткам. Особенно это касается платежей с помощью банковских пластиковых карт. Сам по себе метод идентификации с помощью персонального ПИН-кода достаточно надежен, нарушения могут происходить вследствие ошибок его использования, например в случае утери карты, при использовании очевидного идентификатора ( своего имени, ключевого слова ). Поэтому клиентам надо строго соблюдать все рекомендации банка при использовании такого вида платежей.
“Сборка мусора” - после окончания работы обрабатываемая информация не всегда полностью удаляется из памяти. Данные хранятся на носителе до перезаписи или уничтожения. При искажении заголовка файла их прочитать трудно, но все-таки возможно с помощью специальных программ и оборудования. Это может привести к утечке важной информации. Для защиты используются специальные механизмов, например, стирающий образец.
“Взлом системы” - умышленное проникновение в систему с несанкционированными параметрами входа, то есть с именем пользователя и его паролем. Основная нагрузка при защите- на программе входа. Алгоритм ввода имени и пароля, их шифрование, правила хранения и смены паролей не должны содержать ошибок.
“Люки” - это скрытая, недокументированная точка входа в программный модуль. Это угроза, возникающая при ошибках реализации каких-либо проектов ( системы в целом, комплекса программ и т.д.). Часто происходит обнаружение “люков” - в результате случайного поиска.
Вредоносные программы - специально созданные программы, которые прямо или косвенно дезорганизуют процесс обработки информации или способствуют утечке или искажению информации. Наиболее распространенные виды:
-вирус (программа, способная заражать др. программы, модифицируя их так, чтобы они включали в себя копию вируса),
-”троянский конь” (программа, приводящая к неожиданным, нежелательным результатам). Способна раскрыть, изменить, уничтожить данные или файлы. Эту программу встраивают в программы широкого пользования (обслуживание сети). Антивирусные средства не обнаруживают эти программы, но системы управления доступом в больших компьютерах обладают механизмами идентификации и ограничения их действия.
-“червяки” - программа, распространяемая в системах и сетях по линиям связи. Подобны вирусам: заражают другие программы, однако не способны самовоспроизводиться.
-“жадная” программа - захватывает отдельные ресурсы вычислительной системы, не давая другим программам возможности их использовать.
-“захватчик паролей” - предназначены для распознавания паролей
-”бактерии” - делает копии самой себя и становится паразитом, перегружая память ПК и процессор.
-“логические бомбы” - приводит к повреждению файлов или компьютеров (от искажения до полного уничтожения данных ). Как правило, ее вставляют при разработке программы, а срабатывает она при выполнении некоторого условия ( время, дата).
-“лазейки” - точка входа в программу, открывающая доступ к некоторым системным функциям. Обнаруживаются путем анализа работы программы.
36. Электронная цифровая подпись- понятие и внедрение ее в банках.
Электронная цифровая подпись (ЭЦП) - одна из криптографических систем зашиты контроля и подлинности информации. Значение ЭЦП усилилось при передаче информации расчетно-денежных документов по каналам связи в условиях “безбумажной” технологии выполнения банковских операций.
ЭЦП- система, позволяющая гарантированно подтвердить авторство и установить истинность документа “безбумажной” технологии.
В отличие от “бумажной” подписи ЭЦП не является неизменной и проставляется она не человеком, а программой. В основе программы ЭЦП лежат сложные математические схемы, что затрудняет ееподделку. ЭЦП формируется в виде нескольких сотен символов, как правило, вконце документа. При формировании ЭЦП используются четыре взаимосвязанных компонента: закрытый (секретный) ключ, открытый ключ, содержание документа, идентификатор отправителя документа. Секретный ключ хранится на дискете, доступ к которой должен быть защищен как физически (сейф), так и паролем. Открытый ключ передающего абонента позволяет судить об истинности его подписи, но не позволяет восстановить секретный ключ подписи. Открытый ключ и идентификатор являются общедоступной для сети абонентов информацией. Поскольку ЭЦП связана с содержанием документа, злоумышленники, которые не были бы обнаружены программой проверки документа при помощи открытого ключа. Процесс использования ЭЦП включает следующие процедуры: генерация ключей, подписывание документа, проверка подписи.
Большую роль в предотвращении подделки ЭЦП играют стандарты на электронную подпись, т.к. они представляют собой подробное описание алгоритмов, по которым вычисляется и проверяется подпись.
В России приняты стандарты, обеспечивающие высокую криптографическую стойкость алгоритмов, реализующих ЭЦП.
Гарантией надежности ЭЦП служит ее сертификация Федеральным агентством правительственной связи и информации (ФАПСИ). Сертификация - процесс, в результате которого подтверждается соответствие требованию стандарта.
37. Информационный процесс управления банком.
Технология управленческого процесса в банке состоит по крайней мере из 2 частей: информационного процесса и связанного с принятием управленческих решений. В этом случае информационный процесс можно охарактеризовать как рутинный, включающий разные технические операции. Помимо этих двух процессов выделяют также организационно методологический, коммуникационный процессы.
Организационно- методологический процесс предназначается для организации управления,разработки его методов и моделей. Коммуникационный процессслужит целям информационного обмена и, по сути дела, является информационным.
Информационным процессом управления называется совокупность управленческих операций, главным предметом которых выступает информация. Подобные операции направлены на сбор (съемка, улавливание, восприятие) информации, ее преобразование с целью получения необходимой информации для формирования управленческих решений, обеспечивающих реализацию функций объекта управления. Поскольку для формирования решений недостаточно иметь первичную информацию, то необходимо прибегать к операциям ее всевозможного преобразования, что и вызывает потребность информационного процесса.