Реферат

на тему:

Безпека передачі інформації в банківській діяльності

План

Історія виникнення конфіденційної передачі даних.

Сутність, види та функціонування комп’ютерних систем.

Захист від несанкціонованого доступу до комп’ютерних систем.

Особливості розвитку комп’ютерної злочинності.

Боротьба з комп’ютерною злочинністю в Україні.

1.Історія виникнення конфіденційної передачі даних.

Уже наприкінці 50 – х у результаті бурхливого зротання міжнародної
торгівлі стало очевидним, що потужностей “паперових” систем банківських
розрахунків замало для забезпечення надійного й швидкого зв’язку між
банками та їхніми філіями в різних країнах. Становище ускладнювалось й
через те, що різні банки використовували різні, часто практично
несумісні системи розрахунків. З огляду на це й постала потреба створити
“єдину мову” фінансових повідомлень і єдину систему їх передачі. Щоб
покращити становище, потрібно було створити стандартні й універсальні
формати повідомлень, що придатні для використання в будь – якому банку
світу.

Пошук більш ефективних засобів роботи змусив на початку 1960 – х років
зібратися 60 американських і європейських банків для дискусії з приводу
створення системи стандартизації у міжнародній банківській справі. Було
прийнято рішення, що кінцевою метою створення системи повинно стати
використання комп’ютерів, засобів телекомунікацій, які забезпечують
більш надійну, швидку і безпечну систему передачі банківської
інформації. В основу проекту покладені такі вимоги:

Платіжні операції мають здійснюватись без участі паперів і як можна
більш раціонально;

Обмін інформацією між банками повинний бути прискорений з використанням
засобів телекомунікацій;

Мають бути мінімізовані типові банківські ризики (втрата, помилковий
напрям платежів, фальсифікація платіжних доручень ).

Ініціатива створення міжнародного проекту, що ставив на меті
забезпечення

всім його учасникам можливості цілодобового високошвидкісного обміну
банківської інформації, при високому ступені контролю і захисту від
несанкціонованого доступу, бере початок у 1968 р. Дещо пізніше (у
1972р.) ця ініціатива офіційно була оформлена в проект, що отримав назву
MSP (Massage Switching Project) – проект комутації повідомлень. У тому ж
році були виконані розрахунки і дані рекомендації із створення
рентабельної системи обміну банківською інформацією. Вони зводились до
наступного:

Система повинна базуватися на створенні міжнародноії мережі і мережевої
служби сервісу, на стандартизації процесів, а також стандартизації
форматів повідомлень, на стандатизації засобів і обладнання для
підключення банків до мережі;

Для забезпечення рентабельності при вартості передачі одного
повідомлення 0,15 $, система має обробляти не менше 100 тис.,
повідомлень на добу за участю приблизно 70 банків;

Система повинна містити два незалежні і пов’язані один з одним
розподільчі центри та концентратори зв’язку в кожній із країн – учасниць
системи.

Базуючись на цих рекомендаціях, 239 банків із 15 країн Європи та
Північної Америки у травні 1973 року у відповідності з бельгійським
законодавством створили компанію SWIFT, що почала створювати відповідну
систему передачі банківських повідомлень, яка й отримала таку ж назву.
Було визначено, що метою компнії є проведення досліджень, створення та
експлуатація засобів, необхідних для забезпечення віддаленого зв’язку,
передачі та обробки конфіденційних фінансових повідомлень, що є
приватною власністю, для загальної користі його членів.

Наступні чотири роки були присвячені рішенню організаційних і технічних
питань з розробки формалізованих методів обміну фінансовою інформацією і
створення міжнародної мережі передачі даних з використанням
стандартизованих повідомлень. Після введення системи у дослідницьку
експлуатацію на початку 1976 р., та вирішення ряду проблем, 9 травня
1977 р., відбулося офіційне відкриття системи SWIFT. Під кінець року
кількість банків – членів збільшилось до 586 (проти 513 на час її
відриття). Вони забезпечували щоденний трафік до 500 тис., повідомлень.
[4, c.65].

2. Сутність, види та функціонування комп’ютерних мереж

SWIFT (Society for Worldwide Interbank Financial Telecomunications) –
товариство міжнародних міжбанківських фінансових телекомунікацій є
провідною міжнародною організацією в сфері фінансових телекомунікацій.
Основними напрямами діяльності SWIFT є надання оперативного, надійного,
ефективного, конфіденційного і захищеного від несанкціонованого доступу
телекомунікаційного обслуговування для банків, забезпечуючи тим самим
оперативну, безпечну і абсолютно надійну передачу фінансових повідомлень
по всьому світі, і проведення робіт із стандартизації форм і методів
обміну фінансовою інформацією.

SWIFT отримало підтримку світового фінансового співтовариства, а
запропонована та реалізована ним концепція, формати та правила передачі
фінансової інформації набули статусу стандарту “де – факто”. SWIFT не
тільки є найбільшою світовою мережею передачі даних, а й надає
спеціальне обладнання та програмне забезпечення для роботи у мережі.

Сьогодні SWIFT – одна із мереж, яка має понад 6700 коритсувачів з 189
країн світу (серед них понад 2200 банків), у яких налічується понад 35
тис., тарміналів, всі вони незалежно від їхнього географічного
положення, мають можливість взаємодіяти один з одним цілодобово
(доступність мережі SWIFT у 1999 році становила 99,96%). Загальна
кількість переданих по мережі повідомлень у 2001 році становила 1 трлн.,
при річному прирості трафіку 12,6%. Щоденний обсяг повідомлень перевищує
3,5 трлн., сумарною вартістю понад 2 трлн., $ США.

Для зв’язку терміналів користувачів з операційним центром (ОЦ)
використовуються виділені міжнародні лінії передачі даних. Зв’язок між
ОЦ здійснюється по підводних і космічних каналах, причому SWIFT має для
цього власний геостаціонарний супутник над територією США.

Із термінала банку – учасника системи через модем по національній мережі
передачі даних повідомлення надходить до розподільчого процесора (РП).
Відповідальність за перевірку, достовірність і правильність такого
повідомлення покладається на зазначені банки.

До основних функцій РП належать:

Контроль правильності вхідних повідомлень;

Перевірка посвідчень повідомлень;

Передача позитивних чи негативних підтверджень користувачам.

Усі користувачі системи мають свою адресу, за якою вони й відомі
системі. Кожна така адреса відповідає певному основному РП, а саме тому,
через вузол якого вона входить до системи.

У системі передача та зберігання повідомлень належать до функцій
маршрутних процесорів (МП). На них покладено головне обчислювальне
навантаження в мережі. За потребою до системи підключають додаткові МП
для збільшення сумарної пропускної здатності.

Розробкою і посиленням заходів безпеки в системі займається Управління
генерального інспектора (група спеціалістів, до обов’язків якої входить
перевірка діяльності всієї компанії та її підрозділів).

Система електронних платежів “Клієнт/Офіс – Банк“ (СЕПКОБ) – система
передачі даних, яка заміняє такі традиційні засоби зв’язку, як пошта,
телеграф, телекс, даючи клієнтові змогу скористатися потрібною послугою,
не відвідуючи операційного залу банку.

Робота в СЕПКОБ надає клієнтові чимало переваг порівняно з традиційною
технологією платежів:

По – перше кожний клієнт може зі свого офісу за допомогою комп’ютера
управляти власним розрахунковим рахунком. Більше того, якщо він має
портативний комп’ютер, то може скористатись такою послугою не лише з
офісу;

По – друге – обслуговування клієнтів здійснюється цілодово;

По – третє – скорочуються операційні витрати порівняно з телеграфним або
телексним зв’язком, дешевшими стають підготовка й оформлення платіжних
документів;

По – четверте – існує можливість безпосередньої взаємодії СЕПКОБ з ІС
клієнта і організації безпосередньої обробки даних при розв’язуванні її
задач.

Усі операції виконуються на робочому місці в офісі клієнта. Клієнт
отримує збільшення швидкості проводок грошей і отримання виписок по
рахунках. Є можливість одній людині працювати з кількома рахунками, які
можуть знаходитись в різних кінцях країни. До інших переваг можна
віднести зменшення кількості помилок під час введення й підготовки
фінансових документів і захист від типових банківських ризиків
(помилкові направлення платежів, втрата документів, їх фальсифікація та
спотворення, тощо). Клінт працюючи в системі, може не лише відправляти
платежі, а й користуватись іншими банківськими послугами (діставати
інформацію про операції на своєму рахунку, про зміни його поточного
стану протягом доби, курси валют).

Використання СЕПКОБ підвищує ефективність робіт і самого банку, оскільки
скорочується час, зменшується трудомісткість введення і підготовки
платіжних документів на носіях, підвищується оперативність і якість
обслуговування клієнтів. Ці системи, в принципі, дозволяють зняти
проблему створення окремого бюджетного банку для обслуговування коштів
місцевих бюджетів шляхом їх установки в Державному казначействі України
(що вже зроблено), в бухгалтеріях, податкових інспекціях і обробку
фінансової інформації на базі розрахункових палат НБУ.

У загальному вигляді система складається з двох головних структурних
елементів:

Перший елемент – автоматизоване робоче місце “Клієнта” (АРМ_К),
розташоване безпосередньо в клієнтів, які по каналах зв’язку обмінюються
інформацією з банком;

Другий елемент – АРМ “Банк” (АРМ_Б) міститься в банку, що обслуговує
клієнтів, які мають АРМ_К.

АРМ_К – працює в режимі реального часу і, як правило, підключене до ЛОМ.
Інтегруючись із прикладними задачами автоматизованої інформаційної
системи клієнта, АРМ_К може розглядатись і як її елемент.

АРМ_Б – призначений для обробки пакетів платіжних документів, запитів та
інших повідомлень клієнтів, які є учасниками СЕПКОБ.

Інформація в СЕПКОБ з метою її захисту передається лише в зашифрованому
вигляді. Дані, які обробляються й передаються, захищені завдяки
шифруванню та використання системи паролів. Найчастіше пароль вибирає та
встановлює саме клієнт, змінюючи його з часом [4, c.89].

3.Захист від несанкціонованого доступу до комп’ютерних мереж

Існує широкий спектр програмних і апаратних засобів обмеження доступу
(ЗОД), основаних на різних підходах і методах, в тому числі з
приміненням криптографії.

Однак для всіх ЗОД присутні деякі риси і єдинообразні базисні
компоненти, такі як “диспетчер доступу”, “модель захисту” і “блок
автентифікації”.

Реалізується у вигляді програмно – апаратних механізмів, “диспетчер
доступу” забезпечує необхідну дисципліну обмеження доступу “суб’єктів”
(активних елементів обчислювального процесу: користувачів, процесів,
процедур) до “об’єктів” (пасивним інформаційним елементам і контейнерах
даних: файлах, томів даних, приладів, програм), яка описується
математичною “моделлю захисту”.

На основі повноважень суб’єкта і можливостей об’єкта даних, записаних в
базі повноважень і характеристик доступу диспетчер приймає рішення
дозволити доступ чи відказати в ньому [2,c.121].

Диспетчер доступу (ДД) повинен відповідати фундаментальним вимогам:

Формальна модель захисту – алгоритм прийняття рішень в доступі, які
лежать в основі ДД, повинен базуватися на формальній моделі захисту, яка
забезпечує можливість математичного аналізу характеристик безпеки
обчислювальної системи, яка захищається.

Верифікованість – програмно апаратні механізми ДД повинні бути достатньо
простими, невеликими по об’єму і добре структурованими для того, щоб
булу забезпечена можливість їх верифікації, підтвердження конкретності і
відповідності логіки їх функціонування заданої моделі захисту;

Захищеність механізмів – програмно апаратні механізми ДД, база
характеристик доступу, автентичність суб’єктів і об’єктів повинні бути
надійно захищені від випадкової чи наміреної модифікації;

Повнота контролю – ДД повинен контролювати всі звернення до об’єкта,
який захищається по всім можливим каналам доступу.

Формально модель захисту являється математичною абстракцією,
відображаючої взаємовідносини між користувачами і даними в
обчислювальній системі. Вона необхідна, як інструмент для дослідження
поведінки обчислювальної системи з точки зору можливого виходу на зовню
інформації, так і якості алгоритмічної бази для реалізації програмно –
апаратних механізмів ДД.

Під “блоком автентифікації” розуміють програмно – апаратні засоби, які
відповідають за достовірне “опізнання особистості”. В більшості випадків
опізнання користувача проводиться шляхом перевірки пред’явленого пароля
(автентифікаційним признаком являється “знання” людиною певної
таємниці). Інколи достовірність процедури опізнання підсилюється за
допомогою використання спеціальних пристроїв – електронних і механічних
ключів, які користувач приносить з собою (допоміжний автентифікаційний
признак – “володіння” певним предметом). У відповідальних випадках
використовується “біометрична автентифікація” здійснюється опізнання
суб’єкта по його психофізичним характеристикам такими як форма і
динаміка рукописного підпису, малюнок сітчатки ока, форма відбитків
пальців.

4. Особливості розвитку комп’ютерної злочинності

Термін “комп’ютерна злочинність” вперше появився на початку 60 – х
років, коли були виявлені перші випадки злочинності здійснених з
використанням ЕОМ. Це явище підсилювалось не тільки в локальному,
національному але і глобальних масштабах.

В цілому комп’ютерна злочиннісь в промислово розвунутих країнах
характеризується слідуючими показниками:

Середній збиток від одного комп’ютерного злочину в США 450тис.,$.

Максимальний збиток в одного КЗ в США і країнах західної Європи – 1
млрд.,$.

Щорічні втрати фірм США – 5 млрд., $.

В певні роки ріст об’ємів втрат досягав 430% в рік.

Сьогодні перечень комп’ютерних злочинів значно розширився і включає в
себе такі види злочинів:

Незаконне використання комп’ютера в цілях аналіза чи моделювання
злочинних дій для їх здійснення в комп’ютерних системах;

Несанкціонований доступ в інформаційно – обчислювальні мережі чи масиви
інформації в корисних цілях;

Викрадення системного і прикладного програмного забезпечення;

Шантаж, інформаційна блокада і інші методи комп’ютерного тиску;

комп’ютерний шпіонаж і передача інформації особам, які не мають до неї
доступу;

підробка і фальсифікація комп’ютерної інформації;

розробка і поширення комп’ютерних вірусів в інформаційно –
обчислювальних системах і мережах;

несанкціонований огляд або викрадення інформації із баз даних;

халатність при розробці, створення інформаційно – обчислювальних мереж і
програмного забезпечення, яка призводить до важких наслідків і втрати
ресурсів;

механічні, електричні, електромагнітні і інші види впливу на
інформаційно – обчислювальні системи і лінії телекомунікацій, які
викликають їх пошкодження.

Методи несанкціонованого доступу:

“За дурнем” – використовується для проникнення в закриті зони – як в
просторі так і в електроніці. Його суть в тому, щоб взяти в руки різні
премети пов’язані з роботою на ПК, і ходити з діловим виглядом біля
зачинених дверей, де знаходиться термінал. Дочекавшись законного
користувача, порушник входить в двері разом з ним.

“За хвіст” – зловмисник підключається до лінії зв’язку законного
користувача і, дочекавшись коли останній закінчує активний режим,
здійснює доступ до системи.

“Комп’ютерний абордаж” – проникнення в чужі інформаційні системи, які
здійснюються хакерами [2, c.86].

Цілеобразно зупинитись на ще одному способі здійснення комп’ютерної
злочинності — комп’ютерний вірус.

Вірусом – називається програма, яка може заражувати інші програми шляхом
включення в них своєї модифікованої копії, при цьому остання зберігає
здатність до подальшого розмноження. Він може вилучати дані з диску,
внесення помилок у дані, тощо. Дії, що виконуються вірусом можуть бути
обумовлені настанням певної дати або поєднання деяких умов.

Існують десятки тисяч вірусів, але найбільш поширених нараховується 40
–50.

Віруси класифікуються:

завантажувальні віруси – якщо заражений системний диск з якого
відбувається завантаження системи, тоді код вірусу отримує управління.
Під час зараження вірус зчитує потрібну інформацію з первісного
завантажувача та зберігає її у своєму коді. Цей вид вірусу під час
завантаження системи потрапляє в оперативну пам’ять і знаходиться там
постійно.

Файлові віруси – заражають файли додаючи свій код у початок, середину,
або у кінець файла. Іноді для своєї активізвції вони використовують
властивості операційної системи, які визначають порядок запуску програм.

Макровіруси – файлові віруси, які використовують файли документів
редакторів та електронних таблиць. У цих файлах розміщуються програми на
макромовах, які дозволяють створювати програми – віруси.

Мережеві віруси – використовують можливості комп’ютерних мереж. Нині ці
віруси не мають розповсюдження тому, що помилки у мережевих протоколах
та програмному забезпеченні глобальних мереж виправлені. Вони
розповсюджуються по електронній пошті [1, c.233].

5.Боротьба з комп’ютерною злочинністю в Україні

За кордоном ця боротьба здійснюється в основному шляхом введення
відповідних змін в законодавсто, удосконалення форм діяльності і
підготовки представників органів безпеки і посилення мір безпеки проти
можливих зловживань з допомогою ЕОМ.

Україна також зіткнулась із комп’ютерною злочинністю. В 1998 році 23
жовтня з рахунків резервного фонду Вінницького обласного управління НБУ,
несанкціоновано проникнувши в комп’ютерну мережу банку, викрали 80,4
млн.,грн.

Проведеними оперативно – пошуковими роботами встановлено, що незаконний
перерахунок грошей здійснив технік операційного відділу обласного
управління НБУ. Після одночасного проведення раніше запланованих 11
обшуків в Головне управління по боротьбі з організованою злочинністю МВС
України доставлені 30 чоловік причетних до здійснення цього резонансного
злочину. В національному законодавстві передбачені норми, які регулюють
дане питання.

Основним нормативним актом являється Закон України “Про захист
інформації в автоматизованих системах” від 05.07.1994 р. Його ціллю
являється встановлення основ регулювання правових відносин, щодо захисту
інформації в автоматизованих системах при умові дотримання права
власності громадян України і юридичних осіб на інформацію і права
доступу до неї, права власника інформації на її захист, а також
встановленого чинним законодавством обмеження на доступ до інформації.

Дія закону поширюється на інформацію, яка обробляється в
автоматизованих системах.

Об’єктами захисту являється інформація, яка обробляється в АС, права
власників цієї інформації і власників АС, права користувача.

Захисту підлягає різна інформація в АС, необхідність захисту якої
визначається її власником або чинним законодавством.

Особи, що винні в порушенні порядку і правил захисту оброблювальної
інформації в АС, несуть дисциплінарну, адміністративну, кримінальну чи
матеріальну відповідальність згідно діючому законодавстві України.

Шкода причинена суб’єктам відносин в результаті незаконного виникнення
перешкод доступу до інформації чи втрати інформації і АС, несуть
відповідальність ті особи, що визнані винні в цьому.

Особи, які порушили роботу автоматизованих систем будуть нести
кримінальну відповідальність по статті 198 КК України [1,c.244].

Для боротьби з даним видом злочинності необхідно створити необхідну
нормативну базу. При цьому законодавчим органам потрібно вивчити
законодавчий досвід інших країн по даній проблемі, лише тоді можна
досягти бажаного результату.

Література

1.Закон України “Про захист інформації в автоматизованих системах” від
05.07.1994 р.

2. Андрощук Г.А., Крайнєв П.П., Економическая безопасность предприятия:
защита комерческой тайны – Монография – К.: Издательский дом “Ин –
Юре”, 2000 – 400с.

3. Клименко О.Ф., Головко Н.Р., Шарапов О.Д., Інформатика та комп’ютерна
техніка: Навч – метод., посібник / за ред., О.Д. Шарапова – К.: КНЕУ,
2002 – 534 с.

4. Ситник В.Ф., Основи інформаційних систем: Навч. Пос., — Вид. 2-ге
пер. і доп., / В.Ф. Ситник, Т.А. Писаревська, Н.В. Єрьоміна, — К.: КНЕУ
2001 – 420 с.

5. Сорока П..М., Інформаційні системи і технології в фінансах: Навч.
Пос., для дистанціного навчання / за ред., д.е.н. проф., П.А. Лайка –
К.: Вид – во Університету Україна, 2005 – 260 с.

6. Литвин І.І., Конончук О.М., Дещинський Ю.Л., Інформатика: теоретичні
основи і практикум. Підручник – Львів: “Новий Світ 2000”, 2004 – 304 с.

PAGE

PAGE 10

Похожие записи