Реферат на тему:

Особливості захисту інформаційних систем у банківських установах та
нормативно-правове забезпечення їх захисту

Технологія роботи з інформацією, зокрема в банківських установах
України, останні роки істотно змінилася. Широке застосування
комп’ютерної техніки та новітніх інформаційних технологій у банківській
діяльності стало реальністю.

Використання банківських інформаційних систем дозволяє скоротити витрати
на обслуговування банківських операцій у реальному масштабі часу, що
значною мірою сприяє підвищенню якості оперативних, технічних і
стратегічних фінансових рішень.

Сучасне розуміння інформаційної системи передбачає використання
комп’ютера як основного технічного засобу опрацювання інформації.
Комп’ютери, оснащені спеціалізованими програмними засобами, є технічною
базою та інструментом інформаційних систем.

Сучасні банківські інформаційні системи забезпечують:

– автоматизацію внутрішньобанківської діяльності;

– автоматизацію виконання міжбанківських розрахунків і
зовнішньобанківських операцій;

– автоматизацію фінансових операцій у межах міжнародного банківського
бізнесу.

Інформаційна система – взаємопов’язана сукупність засобів, методів і
персоналу, яку використовують для зберігання, опрацювання та видавання
інформації, що слугує досягненню конкретного завдання. При системному
підході можна виділити такі структурні складові управління:

– керуюча система, або суб’єкт управління (СУ);

– керована частина, або об’єкт управління (ОУ);

– інформаційна система (ІС), через яку відбувається зв’язок між СУ та
ОУ. Загальну схему взаємодії між цими системами зображено нижче.

Інформаційна система – необхідна складова в процесі організації
управління – містить у собі такі основні частини:

1) сукупність економічних даних на відповідних носіях, організованих
певним способом;

2) методи, способи, технічні засоби й технології збирання, опрацювання,
зберігання, пересилання інформації та її надання користувачам.

Для банківських установ велике значення має продуктивність ІС, її
здатність швидко опрацьовувати інформацію, відстежувати зміни на
об’єкті, у навколишньому середовищі та максимально їх ураховувати.
Затримка з опрацюванням таких даних може коштувати дуже дорого
(наприклад, неврахування нових вимог, постанов, вказівок та ін.) Для
банку щонайменше може призвести до штрафних санкцій.

Для банківських установ важливою особливістю є те, що об’єкт управління
– керована частина, або основне їх ”виробництво” – пов’язаний з
виробленням та опрацюванням інформації. Адже основою діяльності таких
установ є, по суті, робота з інформацією, яка часто стає і предметом, і
продуктом праці не лише відповідних інформаційних систем, а й установ у
цілому. У банках доводиться також вирішувати питання, пов’язані з
управлінням грошовими ресурсами і самими банківськими установами.

Крім того, банки надають своїм клієнтам численні різноманітні послуги.
Скажімо, у США нараховується нині не менш як 155 окремих видів
банківських послуг, які так чи інакше пов’язані з переміщенням і
розподілом грошових засобів [2]. Тому банківські автоматизовані
інформаційні системи, або, як їх іще називають, електронні банківські
системи, – це системи, що виконують переказування (переміщення) грошей,
а також реєструють та аналізують інформацію про ці операції з
використанням комп’ютерів і сучасних засобів зв’язку.

Банківські ІС відрізняються від решти таких систем ще й тим, що
інформація, яка в них використовується, має бути надійно захищеною, а
вони самі повинні мати підвищену “живучість” і безвідмовність у роботі.

Загалом банківські ІС забезпечують:

– автоматизацію внутрішньобанківської діяльності і, насамперед, операцій
з опрацювання платіжних та інших документів у тих підрозділах
банківської установи, які працюють безпосередньо з клієнтами;

– автоматизацію виконання міжбанківських розрахунків та інших
зовнішньобанківських операцій;

– автоматизацію фінансових операцій у межах міжнародного банківського
бізнесу.

Зрозуміло, що автоматизувати зазначені процеси необхідно з урахуванням
їх взаємодоповнюваності і взаємозв’язку, а також того, що автоматизація
кожного з цих процесів досить специфічна і становить складну проблему з
високим рівнем автономності.

Згідно з нормативними документами під час створення автоматизованих
систем (АС) потрібно керуватися принципами системності, розвитку,
сумісності, стандартизації та ефективності [6].

Принцип системності. Необхідно встановлювати такі зв’язки між
структурними елементами системи, які забезпечують її сумісність і
взаємодію з іншими системами. Отже, усі зв’язки, елементи, функції та
проблеми управління необхідно розглядати як єдине ціле.

Принцип розвитку (відкритості). Автоматизована система повинна
створюватися з урахуванням можливості поповнення й оновлення її функцій
та складу без порушення функціонування АС.

Принцип сумісності. Під час створення системи потрібно реалізувати
інформаційні інтерфейси, завдяки яким ця система зможе взаємодіяти з
іншими згідно зі встановленими правилами. Так, будь-яка ІС на рівні
комерційних банків повинна інформаційно взаємодіяти із системами установ
Національного банку України, а ІС обласної податкової адміністрації – з
ІС Головної податкової адміністрації України.

Принцип стандартизації. Під час створення систем необхідно раціонально
застосувати типові, уніфіковані й стандартизовані елементи, проектні
рішення, пакети прикладних програм тощо. Система та її елементи
потребують стандартизації, щоб можна було мінімізувати всі види витрат,
уніфікувати прийоми, методи та інструкції, якими керується персонал.

Принцип ефективності. Досягнення раціонального співвідношення між
витратами на створення АС і цільовими ефектами, включаючи кінцеві
результати, отримані від автоматизації, які не завжди і не обов’язково
мають набирати грошової форми, це можуть бути економія часу, певні
зручності, нові функції, імідж тощо.

При створенні банківської інформаційної системи (БІС), крім того,
виникають додаткові вимоги, тобто доводиться спиратися на деякі
додаткові принципи.

Принцип безпеки даних. Інформація повинна бути захищена як під час її
безпосереднього опрацювання та зберігання в системі, так і в моменти
обміну між комп’ютерами. Необхідно виключити можливість
несанкціонованого доступу до даних у системі. Усі операції в системі
повинні реєструватися. Будь-яке порушення системи безпеки має бути
виявлене.

Принцип надійності системи. У БІС повинні бути однаково високонадійними
як апаратне, так і програмне забезпечення. Інформація для клієнта
повинна бути точною, доступною і надаватися йому без затримки. У разі
виходу системи з ладу дані необхідно відновити, а пошкодження усунути.

Принцип продуктивності системи. Потреба додержуватися його випливає зі
значної нерівномірності надходження потоків інформації, яку слід
опрацьовувати в певні проміжки часу, і жорстких вимог до термінів її
опрацювання.

Оперативне надання клієнтові інформації має вирішальне значення під час
оцінювання системи та її ефективності. За умов, коли конкуренція між
банківськими установами дедалі зростає, час надання інформації клієнтові
може стати вирішальним фактором у роботі системи.

Принцип пристосування (адаптації). Із часом робота банків змінюється,
виникають нові види діяльності та послуг. Тому існуючі інформаційні
системи повинні бути придатними для модифікації її розширення. Більш
того, система може бути повністю перероблена, але інформація при цьому
повинна зберігатися.

Будь-яка ІС поділяється на функціональну та забезпечувальну частини (ФЧ
та ЗЧ), які, у свою чергу, поділяються на простіші елементи –
підсистеми, що також допускають подальший поділ.

До ФЧ належать ті елементи системи, які визначають її функціональні
можливості, а саме: призначення, виконувані управлінські функції та
функції з опрацювання інформації.

До ЗЧ системи належать об’єкти (матеріальні та інші засоби), з допомогою
яких виконуються функції системи.

До складу функціональної частини ІС входять такі системи: функціональні
підсистеми, комплекси завдань та окремі завдання.

Загальну структуру ІС відображає така схема:

Функціональні підсистеми – це відносно самостійна частина системи, яку
виокремлено за певною ознакою, що відповідає конкретним функціям і
завданням управління.

Найчастіше функціональні підсистеми утворюють за такими ознаками: стадії
управління (прогнозування, планування, облік); системи виробничого
процесу (праця, матеріали, грошові кошти); апаратно-організаційна ознака
(структурні підрозділи); функціональна ознака (виконувані функції).

В ІС банківських установ функціональні підсистеми можна виокремлювати за
ознакою управління елементами банківської діяльності: підсистема
управління і проведення розрахункових, кредитних і депозитних операцій
тощо.

ФЧ може реалізуватися на різній технічній базі та з різною технологією
опрацювання даних:

– централізована технологія – завдання виконуються безпосередньо в
обчислювальному центрі;

– децентралізована технологія реалізується на персональних комп’ютерах –
автоматизованих робочих місцях (АРМ). Вона ефективніша за
централізовану, оскільки забезпечує прямий доступ користувача до ЕОМ;

– змішана технологія передбачає, що частина завдань і операцій
виконується на АРМ, а інша – в обчислювальному центрі [3].

До складу забезпечувальної частини входять підсистеми технічного,
математичного, лінгвістичного, правового, інформаційного, а також
організаційно-методичного та ергономічного забезпечення.

Сучасні системи банківських показників складаються з показників видів
банківських послуг і банківської діяльності, які відображають
розрахунково-касовий, кредитний, депозитний, бухгалтерський,
нормативний, законодавчий, фондовий, інвестиційний та інші аспекти
функціонування банку. За допомогою аналітичних і зведених показників
аналізується структура активів та пасивів, доходів та видатків, грошових
потоків за активними та пасивними операціями, ліквідність та фінансова
стійкість банку тощо.

Надання банківських послуг на основі комп’ютерних систем можна подати за
трьома рівнями. До першого – належать банківські послуги, які
передбачають використання автоматів-касирів, пластикових карток і систем
розрахунків у торговельних пунктах, а також послуги, пов’язані з
опрацюванням і збереженням грошових документів. До другого – послуги з
керування грошовими операціями та їх контролювання. До третього –
діяльність розрахунково-касових центрів, автоматизованих розрахункових
палат, клірингових центрів.

Ефективною і зручною формою обслуговування клієнтів є система
електронних платежів за допомогою пластикових карток. З їх допомогою
автомати-касири можуть видавати готівкові гроші і виконувати ряд
функцій: приймання вкладів, переказування грошей, платіжні операції.

Автоматизація банківських операцій при роботі з готівкою передбачає
використання детекторів валют і цінних паперів, лічильників купюр і
монет, пристрою для пакування банкнот, машинок для знищення паперів і
документів. За великих обсягів операцій це значно зменшує трудомісткість
роботи, економить час касирів, операціоністів.

Для підвищення виробництва і надійності автономних банківських
технологій комп’ютери об’єднують у мережі за допомогою певних додаткових
технічних і програмних засобів. У практиці банківської діяльності
поширеними стали локальні обчислювальні мережі в межах однієї установи.

Для сучасних автоматизованих інформаційних систем банку, що відкривають
нові можливості в організації всієї банківської діяльності, підвищують
якість і надійність обслуговування, захист даних є однією з
найактуальніших проблем.

Інформація, що зберігається та опрацьовується в банківських системах,
відображає реальні гроші. Використовуючи інформацію з комп’ютера, можна
проводити платежі, відкривати кредити, переказувати значні суми.
Незаконні маніпуляції такою інформацією можуть призвести до значних
збитків.

Банківська інформація пов’язана з інтересами великої кількості людей і
організацій – клієнтів банку. Вона конфіденційна, і банк несе
відповідальність за забезпечення потрібної секретності перед своїми
клієнтами.

Оскільки банківська інформація – конфіденційна, автоматизовані
банківські системи приречені залишатися відносно закритими і більше часу
приділяти своїй безпеці. Задачі, які розв’язують ІС (інформаційні
системи), можна поділити на два класи:

1. Аналітичні (прогнозування, планування, аналіз рахунків). Результати
їхнього розв’язання можуть справляти вплив на політику банків. З огляду
на цінність результатів їхній захист повинен бути постійним.

2. Щоденні (виконання платежів і коригування розрахунків). Захист самого
процесу опрацювання інформації та кінцевих результатів також повинен
бути постійним.

Щодо захисту, то велика увага приділяється захисту великих ЕОМ,
відновленню інформації після аварій і катастроф, використанню
антивірусних засобів, захисту персональних ЕОМ, захисту точок
підключення до систем через комутовані лінії зв’язку, кінцеве канальне
шифрування даних, що передаються, використання програмного забезпечення
для управління доступом до мережі.

Захист ІС необхідно розробляти для кожної системи індивідуально,
відповідно до загальних правил, і включати: аналіз ризику, що
завершується розробленням проекту системи захисту і планів захисту,
безперервної роботи і відновлення; реалізацію системи захисту на основі
результатів аналізу ризику; постійний контроль за роботою системи
захисту і автоматизованої системи в цілому.

Специфічною рисою автоматизованих банківських систем є спеціальна форма
обміну електронними даними (ОЕД): діловими, комерційними, фінансовими
електронними документами.

Обмін електронними даними забезпечує оперативну взаємодію торговельних
партнерів на всіх етапах підготовки торговельної угоди, укладення
контрактів та реалізації поставки.

До переваг ОЕД треба віднести зменшення вартості операцій у зв’язку з
переходом на безпаперову технологію.

Окремим випадком ОЕД є електронні платежі та повідомлення (тобто
електронні гроші).

Одним із найуразливіших місць ОЕД є пересилання платіжних та інших
повідомлень між банком і банкоматом або між банком і клієнтом. Це
породжує три проблеми: взаємного розпізнавання абонентів (проблема
автентифікації при з’єднанні); захист документів, що передаються
каналами зв’язку; захист самого процесу обміну документами.

У системах ОЕД повинні бути реалізовані механізми, що забезпечують
реалізацію функції захисту на окремих вузлах системи та на рівні
протоколів високого рівня: ідентифікація абонентів; неможливість відмови
від авторства повідомлення; контроль за цілісністю повідомлення;
забезпечення конфіденційності повідомлення; гарантія доставки
повідомлення; реєстрація послідовності повідомлення.

Вирішення перерахованих проблем значною мірою залежить від правильного
вибору системи шифрування.

Окремими питаннями потрібно розглядати особливості захисту інформації в
системах ”Клієнт-Банк” та Національного банку України.

Інформаційні системи в банківській сфері потребують захисту інформації,
яка опрацьовується і передається, від навмисного і ненавмисного
втручання в нормальний процес функціонування системи, а також від спроб
крадіжок, модифікації або руйнування компонентів системи.

Безпеки банківської інформації досягають обмеженням доступу користувачів
до різних функціональних підсистем, використанням спеціального
забезпечення, визначеного складу устаткування та конфігурації системи.

Система повинна забезпечувати збереження цілісності інформації при
неполадках в апаратурі.

Захист мереж, як і захист окремих систем, має три мети: підтримка
конфіденційності інформації, що передається та опрацьовується в мережі,
цілісність та доступність ресурсів мережі. Цього досягають правильним
вибором системи шифрування.

Система захисту електронних банківських документів в установах,
включених до інформаційно-обчислювальної мережі НБУ, здійснюється на
основі Положення про міжбанківські розрахунки в Україні, затвердженого
постановою Нацбанка України від 08 жовтня 1998 року № 414.

Однак нормативно-правові забезпечення захисту інформації в банківській
системі потребують удосконалення.

Про це свідчить те, що у зв’язку з інформатизацією у світі та Україні у
злочинному середовищі спостерігається тенденція світового
”кіберпростору” до сфер злочинного бізнесу.

Згідно з даними Комісії з попередження злочинності та кримінального
права, Організації Об’єднаних Націй щорічний економічний збиток від
комп’ютерних злочинів становить близько 20 мільярдів доларів США, у тому
числі більше 50 відсотків припадає на банки [9].

Для вирішення зазначеної проблеми, на нашу думку, необхідно застосувати
такі варіанти удосконалення чинного законодавства України у сфері
соціальних інформаційних відносин:

– визначити у Зводі законів України як галузь законодавства –
”Інформаційне законодавство”;

– провести систематизацію національного інформаційного законодавства на
рівні окремого кодексу – Кодексу України про інформацію, положення якого
базуватиметься на конституційному, адміністративному, цивільному,
трудовому та кримінальному законодавстві.

У Кодексі України, ”Про інформацію” виділити окрему главу про захист
інформації в банківських установах;

– внести зміни з метою усунення протиріч до Законів України ”Про
інформацію”, ”Про захист інформації в автоматизованих системах”, ”Про
державну таємницю”.

Література: TC «ЛІТЕРАТУРА»

1. Автоматизовані системи обробки економічної інформації / Лавінський В.
та ін. – К.: Вища школа, 1995.

2. Банковские электронные услуги. – М.: Банки и биржи, ЮНИТИ, 1997.

3. Коцовська Р.Р., Табачук Г.П. Операції комерційних банків. – 1997. –
С. 31–56.

4. Методи захисту банківської інформації / Задірака В.К., Олексюк О.С.,
Недашковсь-

кий М.О. – 1999. – 261 с.

5. Рибай О.Й., Табачук Г.П., Хміль Л.М. Операції Ощадного банку України.
– 2-ге вид., пер. і доп. – К.: Т-во ”Знання” України, КОО, 1998. – 153
с.

6. Рогач І.Ф., Сензюк М.А., Антонюк В.А. Інформаційні системи у
фінансово-кредитних установках. – 1999. – 216 с.

7. Ситник В.Ф., Краєва О.С. Технологія автоматизованої обробки
економічної інформаії. – 1998. – 220 с.

8. Страхарчук А.Я., Страхарчук В.П. Комп’ютерні технології в економіці.
– К.: Коопосвіта, 1999.

9. Юридичний вісник України. – 2002. – 5–11 березня. – С. 9.

10. Вісті Нацбанку України. – 2001. – № 2. – С. 9–21.

IC

ФЧ

ЗЧ

Функціональні підсистеми

Комплекси завдань

Забезпечувальні підсистеми:

ТЗ, ПЗ, ІЗ, ОЗ, …, ЕЗ

Похожие записи