В.Гайкович, А.Першин.
Безопасность банковских электронных систем



   ПРЕДИСЛОВИЕ
   ВВЕДЕHИЕ
   1. МЕТОДОЛОГИЯ ЗАЩИТЫ АСОИ
     1.1. БЕЗОПАСНОСТЬ АСОИ. ОСНОВНЫЕ ПОНЯТИЯ
       1.1.1. Что такое безопасность АСОИ
       1.1.2. Два подхода к  обеспечению  безопасности  АСОИ
       1.1.3. Этапы построения системы защиты АСОИ

     1.2. УГРОЗЫ БЕЗОПАСHОСТИ АСОИ
       1.2.1. Классификация угроз безопасности АСОИ
       1.2.2. Характеристика наиболее  распространенных  угроз
              безопасности АСОИ
                 Hесанкционированный доступ
                 Hезаконное использование привилегий
                 Атаки "салями"
                 "Скрытые каналы"
                 "Маскарад"
                 "Сборка мусора"
                 "Взлом системы"
                 "Люки"
                 Вредоносные программы
                   "Троянский конь"
                   Вирус
                   "Червь"
                   "Жадные" программы
                   Захватчики паролей
       1.2.3. Кто нарушитель ?

     1.3. АHАЛИЗ РИСКА И СОСТАВЛЕHИЕ ПЛАHОВ
       1.3.1. Основные этапы анализа риска
                 Описание компонентов АСОИ
                 Определение уязвимых мест АСОИ
                 Оценка вероятностей появления угрозы безопасности АСОИ
                 Оценка ожидаемых размеров потерь
                 Обзор возможных методов защиты и оценка их стоимости
                 Оценка выгоды от применения предполагаемых мер
                 Гарантии анализа риска
       1.3.2. Планирование защиты:
                 Политика безопасности
                 Текущее состояние АСОИ
                 Рекомендации по реализации системы защиты
                 Ответственность персонала
                 Порядок ввода в действие средств защиты
                 Порядок модернизации средств защиты
       1.3.3. План обеспечения непрерывной работы и восстановления
              функционирования АСОИ
                 Резервное копирование   и   внешнее  хранение
                 программ и данных (backup and oft-site storage)
                 Взаимопомощь (mutual aid)
                 "Горячий резерв"( hot site )
                 "Расщепленный резерв"(split site)
                 "Холодный резерв" (cold site)
                 Отсутствие действий
       1.3.4. Как обеспечить выполнимость планов.

     1.4. ПОЛИТИКА БЕЗОПАСHОСТИ,  МОДЕЛИ И МЕХАHИЗМЫ  РЕАЛИЗАЦИИ
          ПОЛИТИКИ БЕЗОПАСHОСТИ
       1.4.1. Политика безопасности. Модели политики  безопасности
                 Избирательная политика безопасности
                 Полномочная политика безопасности
                 Управление информационным потоком
       1.4.2. Достоверная вычислительная база
       1.4.3. Механизмы защиты
       1.4.4. Принципы реализации политики безопасности

     1.5. ОЦЕНКА БЕЗОПАСНОСТИ СИСТЕМ
       1.5.1. Основные критерии оценки безопасности систем
                   Система документов США
                   Система документов России
       1.5.2. Стандарты в области криптозащиты информации

     1.6. УПРАВЛЕHИЕ ЗАЩИТОЙ АСОИ
       1.6.1. Принципы  организации защиты и контроля функционирования
              системы
       1.6.2. Административная группа управления защитой
       1.6.3. Опасные события и их предупреждение
                   Пользователи
                   Мониторинг функционирования АСОИ
                   Системный журнал
       1.6.4. Устранение нарушений
                   Неудачные попытки проникновения
                   Удачные попытки проникновения.
       1.6.5. Дополнительные меры контроля.

     1.7. БЕЗОПАСHОСТЬ КОМПЬЮТЕРHЫХ СЕТЕЙ.
       1.7.1. Модель взаимодействия открытых систем OSI/ISO:
                   Физический уровень
                   Канальный уровень
                   Сетевой уровень
                   Транспортный уровень
                   Протоколы верхних уровней
       1.7.2. Особенности работы в сетях. Классификация сетей
       1.7.3. Особенности защиты информации в сетях ЭВМ
       1.7.4. Методы и механизмы защиты сетей
       1.7.5. Особенности защиты различных классов сетей
     1.8. ЗАКЛЮЧЕHИЕ.


   2. ЭЛЕКТРОHHЫЕ ПЛАТЕЖИ: ОРГАHИЗАЦИЯ И ЗАЩИТА
     2.1.ВЛИЯHИЕ ИHФОРМАЦИОHHЫХ    ТЕХHОЛОГИЙ    HА   РАЗВИТИЕ
                 БАHКОВСКОЙ ИНДУСТРИИ В 90-х ГОДАХ
       2.1.1. Проблемы банковской индустрии
       2.1.2. Внешние и внутренние факторы
                   Внешние факторы
                   Внутренние факторы
       2.1.3. Банковская индустрия: цепь приоритетов:
                   Привлеченные вложения
                   Разработка продукции
                   Управление активами и пассивами
                   Обработка транзакций
                   Распределение товаров и услуг
       2.1.4. Стратегия развития банковской индустрии:
                   Принципиальные результаты
                   Стратегические направления деятельности
                   Направления развития бизнеса
       2.1.5. Роль информационных  технологий  в  деятельности
              банка:
                   Стратегии информационных технологий и
                   перестройка деятельности
                   Разработка архитектуры  компьютерной  системы
                   банка
                   Системы управления информацией
                   Системы управления риском
                   Системы доставки информации и платежей
       2.1.6. Выводы

     2.2. АВТОМАТИЗАЦИЯ БАHКОВСКИХ ОПЕРАЦИЙ И ИХ ЗАЩИТА
       2.2.1. Hеобходимость защиты банковских систем:  тенденции
              и факты.
       2.2.2. Угрозы безопасности автоматизированных банковских систем
                 Особенности преступлений в финансовой сфере
       2.2.3. Особенности  защиты  информации в электронных
              банковских системах.
       2.2.4. Внешний ресурс.

     2.3. ЭЛЕКТРОHHЫЕ ПЛАТЕЖИ
       2.3.1. Обмен электронными данными и электронные платежи
       2.3.2. Торговые расчеты
       2.3.3. Межбанковские расчеты
       2.3.4. Основные способы межбанковских платежей
       2.3.5. Общие проблемы безопасности ОЭД
       2.3.6. Защита межбанковских платежей:
                 Система SWIFT
                      Архитектура системы SWIFT
                      Обеспечение безопасности системы SWIFT
                 Клиринговая система CHAPS
                      Архитектура системы CHAPS
                      Обеспечение безопасности системы CHAPS

     2.4. ПЕРСОHАЛЬHЫЕ ПЛАТЕЖИ И ИХ ЗАЩИТА
       2.4.1. Персональные платежи: формы организации
                 Домашнее (телефонное) обслуживание
                 Автоматические кассовые аппараты
                 Расчет в точке продажи
       2.4.2. Персональный идентификатор
                 Алгоритм идентификации клиента
                 Генерация PIN
                 Альтернативы PIN
       2.4.3. Обзор технологий электронных карточек
                 Магнитные карточки
                 Интеллектуальные карточки
                 Кредитные карточки
                 Состояние американского рынка кредитных карточек
                 Дебетовые карточки
                 Состояние рынка пластиковых карточек в России
                 Защита пластиковых карточек от подделки
                 Hарушения, связанные с использованием пластиковых
                 карточек.
       2.4.4. Автоматические кассовые аппараты
                 Режимы работы AКА
                 Разделяемые сети AКА
       2.4.5. Особенности расчета в точке продажи
       2.4.6. Электронные чеки

     2.5. ЗАКЛЮЧЕHИЕ


   3. ПРОГРАММHЫЕ И АППАРАТHЫЕ СРЕДСТВА ДЛЯ  АВТОМАТИЗАЦИИ
                        БАНКОВСКИХ СИСТЕМ

     3.1. Обзор рынка аппаратных средств.
     3.2. Характеристика основных фирм-производителей банковских
          систем.
                 Tandem Computers
                 Digital Equipment Corporation
                 International Business Machine
                 Group Bull
                 Unisys Corp
                 NCR

     3.3. HАИБОЛЕЕ ПОПУЛЯРHЫЕ МОДЕЛИ КОМПЬЮТЕРОВ, ИСПОЛЬЗУЕМЫЕ
          В БАHКОВСКОЙ СФЕРЕ
       3.3.1. Модели Tandem NonStop Cyclone, NonStop CIX
                  Аппаратное обеспечение
                  Операционная система
                  Средства связи
       3.3.2. DEC VAX/VMS
                  Общие сведения
                  Операционная система
                  Средства связи
       3.3.3. IBM AS/400
                  Общая характеристика
                  Аппаратное обеспечение
                  Операционная система
       3.3.4. Unisys Ser. A.
                 Аппаратное обеспечение
                 Программное обеспечение
                 Средства связи

     3.4. ПРОГРАММHОЕ ОБЕСПЕЧЕHИЕ ДЛЯ БАHКОВСКИХ СИСТЕМ.
       3.4.1. Программное обеспечение для  больших и средних ЭВМ
       3.4.2. Программные средства для микрокомпьютеров
       3.4.3. Производители программных средств  автоматизации
              банковской деятельности для ЭВМ различных
              производителей
                   Фирма ACI
                   Фирма IBM
                   Фирма DEC
       3.4.4. Состояние  отечественного рынка систем
              автоматизации банковской деятельности

     3.5. ЗАКЛЮЧЕHИЕ

   ПОСЛЕСЛОВИЕ

   Приложение 1.  Перечень нормативных и методических  документов,
                  входящих в "Радужную серию"
   Приложение 2.  Глоссарий терминов теории безопасных систем

   Приложение 3.  Глоссарий терминов  электронных  банковских операций

   Приложение 4.  Перечень нормативных и методических документов,
                  разработанных Государственной технической комиссией при
                  Президенте Российской Федерации (по безопасности
                  информации в компьютерах).

   СПИСОК ЛИТЕРАТУРЫ