Axborot xavfsizligi
Ko'pgina afzalliklar bilan bir qatorda, axborot tizimlari hech bo'lmaganda xavfli emas. Ulardan biri ma'lumotlarga ruxsatsiz kirish imkoniyati va hattoki tranzaktsiyalardir. Axborot xavfsizligi axborot texnologiyalarining eng muhim jihati hisoblanadi, chunki u ham mijoz, ham ichki ma'lumotlarni ruxsatsiz harakatlardan himoya qilishga qaratilgan.
Rossiya banklarida axborot tizimlarining jadal rivojlanishi axborotni muhofaza qilish muammosini yanada dolzarb qiladi. Bilan solishtirganda qaramay g'arbiy banklar mamlakatimizda avtomatlashtirilgan biznes-jarayonlarning ulushi unchalik katta emas, qasddan ham, bilmagan holda ham axborot buzilishi natijasida bank operatsiyalari buzilishi holatlari tobora ko'payib bormoqda.
Tashkilotning axborot tizimidagi qoidabuzarliklarning sabablari, qoida tariqasida, foydalanuvchilarning noto'g'ri harakatlari yoki tizimga qasddan qilingan hujumlardir. Ikkinchi holatda, tajovuzkorning maqsadi ma'lumot olish, biron bir harakatni amalga oshirish yoki tizimni yoki uning bir qismini yo'q qilish bo'lishi mumkin.
Kredit tashkilotlarining axborot tizimlarida eng ko'p uchraydigan qonunbuzarliklar va nosozliklar, shuningdek ularni himoya qilish usullari to'g'risida batafsilroq to'xtalamiz.
Axborot tizimi foydalanuvchilarining xato harakatlari deyarli barcha yirik axborot tizimlarida uchraydi. Yo'l qo'yilgan xatolar odatda avtomatizatsiya tizimiga ma'lumotni noto'g'ri kiritish bilan bog'liq. Bunday holda, kirish ma'lumotlarining har xil qiymati tufayli xato oqibatlari har xil usulda baholanishi mumkin.
Bank xodimining xato harakatlarining eng xavfli oqibati noto'g'ri asosiy ma'lumotlar (hisoblar yoki summa) bilan operatsiyani bajarish bo'lishi mumkin. Bunday xatolarning oqibatlari, hatto operatsiya tuzatilgan va mablag 'qaytarilgan bo'lsa ham, bank imidjini sezilarli darajada pasaytiradi va mijozlarning unga bo'lgan ishonchini pasaytiradi. Shuning uchun, aksariyat banklarda qo'shimcha boshqaruv tizimlari joriy qilingan va xatolarga yo'l qo'ygan xodimlar uchun juda katta miqdorda jarimalar qo'llaniladi. Ammo, shunga qaramay, ayrim kredit tashkilotlarida har 1000 ta hujjat uchun bitta yoki ikkita xato qabul qilinadigan stavka sifatida qabul qilinadi.
Foydalanuvchilarning yana bir juda og'riqli xatosi - bu katta jarayonning noto'g'ri boshlanishi, masalan, savdo kunini yopish yoki valyuta mablag'larini qayta baholash. Bunday xatolar odatda butun tashkilotda uzilishlar, mijozlarga xizmat ko'rsatishning kechikishiga olib keladi.
Axborot tizimi bilan ishlashda ushbu xatolardan yo'qotishlarni minimallashtirish uchun odatda quyidagi choralar ko'riladi. Birinchidan, bankdagi axborot resurslarini puxta o'ylangan va tarjixon hujjatlashtirilgan nazorat qilish siyosati amalga oshiriladi, bu asosiy hujjatlar turlarini, ularning o'tishini nazorat qilish shartlari va turlarini belgilashi kerak. Nazorat siyosatini belgilaydigan quyidagi printsiplarni ajratib ko'rsatish mumkin:
katta miqdordagi hujjatlarni qo'shimcha ravishda vizual nazorat qilish (oldindan belgilangan darajadan yuqori);
hujjatlarni 30-40 donadan ko'p bo'lmagan to'plamlarga birlashtirish;
barcha (yoki hech bo'lmaganda tashqi) to'lov hujjatlarining asosiy tafsilotlarini parallel ravishda mustaqil kiritish.
Ikkinchidan, tizim foydalanuvchi huquqlariga muvofiq tuzilgan, ya'ni. uning operatsiyalarga kirishi ma'lum shartlar va boshqariladigan parametrlar bilan cheklanishi kerak.
Uchinchidan, noto'g'ri operatsiyalar yuz berganda xodimlarning harakatlarini aniq tartibga solish joriy etilmoqda.
To'rtinchidan, kompyuter texnologiyalaridan foydalangan holda xodimlarning malakasini oshirish muntazam ravishda amalga oshiriladi.
Biroq, ushbu choralar, ularni amalga oshirish zarurligiga qaramay, kamdan-kam hollarda to'liq qo'llaniladi. Buning asosiy sabablari yuqori mehnat zichligi va bank axborot tizimining dasturiy ta'minotida tegishli tartiblarning yo'qligi. Xavfsizlik tizimini qurishda, ayniqsa avtomatlashtirish xarajatlari past bo'lgan kichik banklarda, ushbu tartib-qoidalar odatda e'tibordan chetda qoladi.
Tizimga qasddan qilingan hujumlar kamdan-kam hollarda ro'y beradi, biroq ayni paytda ular bank uchun eng og'riqli. Bunday holda, tajovuzkor uchinchi shaxs yoki bank xodimi bo'lishi mumkin. Odatda, tajovuzkorning harakatlaridan axborot tizimini himoya qilishni ishlab chiqishda, yuqorida aytib o'tilganidek, uch turdagi hujumlar ajratiladi.
Eng qiyin narsa - ma'lumotni ruxsatsiz olishdan himoya qilishni tashkil etish. Buning sababi shundaki, to'liq himoya qilish uchun nafaqat texnik vositalar, balki xodimlar tomonidan amalga oshiriladigan protseduralar to'plami ham talab qilinadi, chunki ko'pincha maxfiy ma'lumotlarni olish uchun bank xodimlaridan kimdir bilan "aloqada" bo'lish kifoya.
Biroq, ma'lumotlarning tarqalishidan kelib chiqadigan zararlar odatda kichikdir, bu bunday himoya qilishni rivojlantirish uchun mablag 'ajratish to'g'risida qaror qabul qilishda esga olinishi kerak. Faqatgina qudratli tashkilot (raqib yoki hukumat) ma'lumotni o'g'irlash orqali katta zarar etkazishi mumkin, bu esa etarli xarajatlar bilan har qanday himoyani chetlab o'tadi. Shuningdek, qo'shimcha himoya vazifasini o'taydigan avtomatizatsiya bo'limi va asosiy funktsional xizmatlarning binolariga kirishni cheklash haqida ham gapirish kerak.
Axborotni o'g'irlashdan farqli o'laroq, ruxsatsiz harakatlar ko'pincha isbotlanishi mumkin va shuning uchun ularni oldini olish mumkin. Ruxsatsiz harakatlarning sabablari, qoida tariqasida, mablag'larni o'g'irlashga urinishlardir. Parallel qog'ozli ish oqimiga qaramay, rossiya banklari mablag'larni o'g'irlashga imkon beradigan bir qator zaif tomonlarga ega. Shu bilan birga, umuman olganda, bunday jinoyatlar Internetdan foydalangan holda professional xakerlar tomonidan sodir etilishi noto'g'ri tushuncha. Ko'pgina Rossiya banklarida Internet ichki tarmoq muhitiga qo'shilmagan yoki alohida ehtiyotkorlik bilan himoyalangan.
Ruxsat etilmagan xatti-harakatlarga bankning axborot tizimidagi eng zaif bo'g'in - bu avtomatik ravishda o'tkaziladigan guruh operatsiyalari bo'lib, ularning miqdori va schyotlari odatda qattiq nazoratga olinmaydi. Keling, ushbu operatsiyalarning ayrimlarini ko'rib chiqaylik.
Joriy va talab qilinadigan schyotlar bo'yicha foizlarni hisoblash. Odatda ushbu guruh operatsiyasining faqat umumiy miqdori ma'lum va taxminan. Hujumchining hisob raqamiga mablag'ni keyinchalik tiklash bilan har bir operatsiyadagi kichik o'zgarishlar vizual nazorat qilish deyarli mumkin emas. Bunday o'g'irlikning oldini olish uchun xavfsizlik xizmati tarkibida boshqa xodimlar uchun yopiq usullardan foydalangan holda avtomatik operatsiyalarni parallel boshqarish bo'yicha ixtisoslashtirilgan xizmatga ega bo'lish tavsiya etiladi.
Mijoz-bank tizimi orqali o'g'irlik. Ushbu tizimni muhofaza qilishga va mijozning pul o'tkazmalarini qo'shimcha nazorat qilishga alohida e'tibor berishini hisobga olgan holda, bunday hujumga urinishlar odatda katta miqdordagi bir martalik o'g'irlik xususiyatiga ega.
Shunga asoslanib, himoya sifatida har bir mijoz uchun mijoz-bank tizimi orqali amalga oshiriladigan to'lovlarning maksimal kunlik hajmlarini cheklash va to'lovlar bo'lmagan taqdirda ham mijozning bayonotining majburiy kunlik nazoratini tartibga solish tavsiya etiladi.
Tashqi to'lov oluvchini o'zgartiring. Ushbu turdagi o'g'irlik nazorat bosqichlaridan o'tganidan keyin rekvizitning o'zgarishi bilan tavsiflanadi. Suiiste'moldan himoya qilish juda murakkab va nazorat bosqichlaridan o'tganidan keyin va yuborilgan parvozning elektron imzosidan oldin ma'lumotlarni tahrirlash taqiqlanadi.
Axborot tizimlari uchun potentsial xavfning yana bir manbai bu avtomatizatsiya tizimini yoki uning alohida modulini yo'q qilish... G'alati, ammo bunday harakatlarning mumkin bo'lgan sabablaridan biri har qanday bank xodimining (odatda ishdan bo'shatilgan) rahbariyatdan va umuman tashkilotdan qasos olishga intilishidir. Bunday holda, etkazilgan zararning natijalari noma'lum vaqtdan keyin paydo bo'lishi mumkin, bu esa aybdorni aniqlashga imkon bermaydi. Bunday harakatlardan himoya qilish uchun muntazam ravishda zaxira nusxalarini yaratishni, xodimni ishdan bo'shatilganligi to'g'risida ogohlantirgandan so'ng uning axborot tizimiga kirishini taqiqlashni, ishdan bo'shatish tartibini takomillashtirishni tavsiya qilish mumkin. ishdan bo'shatilgan.
Do'stlaringiz bilan baham: |