Vol. 10. No. 5 (59). 2015
М. В. Тумбинская, канд. техн. наук, Казанский национальный исследовательский технический университет им. А. Н. Туполева — КАИ, [email protected]
Модель защищенной информационной системы интернет-банкинга
В статье предложена обобщенная структурная схема информационной системы интернет-банкинга, отражающая модульную архитектуру системы, взаимосвязи пользователей и контур управления . Описана комплексная модель информационной системы интернет-банкинга, использование которой позволяет минимизировать число атак киберпреступников, оптимизировать и совершенствовать комплексную систему информационной безопасности организаций экономической и социальной сферы, повысить эффективность использования защищенной информационной системы интернет-банкинга, выбрать успешную стратегию развития услуги интернет-банкинга и дистанционного банковского обслуживания . Представлены теоретико-множественная модель поддержки принятия решений при управлении информационной защитой систем интернет-банкинга, семантическая обобщенная схема хищения конфиденциальной информации в системах интернет-банкинга . Предложена формализация модели нарушителя (хакера), характеризующаяся личностными параметрами нарушителя и сценариями действий по хищению конфиденциальной информации в информационной системе интернет-банкинга .
Ключевые слова: моделирование, информационная безопасность, информационная система, интернет-банкинг, хакер, поддержка принятия решений, атаки и угрозы .
введение
В настоящее время большинство банковских организаций используют в своей деятельности защищенные информационные системы интернет-банкинга или защищенные системы дистанционного банковского обслуживания. Это просто и удобно как для клиентов банковских организаций, так и для самих банков, но уровень защиты таких систем варьируется от низкого до среднего, что подтверждается обнародованными статистическими данными. В то же время бурное развитие информационных технологий требует от банковских организаций дальнейшего развития удобных и безопасных дистанционных сервисов, позволяющих улучшить качество обслуживания клиентов. Вместе с тем системы интернет-банкинга, даже самые современные, если они не обеспечены соответствующей защитой, несут в себе повышенные риски [1].
Вопросы защиты информации интернет-банкинга актуальны, так как число атак со стороны хакеров увеличивается. Банковские организации утаивают информацию об успешно реализованных атаках хакеров. Статья посвящена вопросам защиты информации в информационных системах интернет-банкинга и нацелена на сохранение целостности конфиденциальной информации, повышение защищенности систем интернет-банкинга.
В работе предложена обобщенная структурная схема информационной системы интернет-банкинга, отражающая модульную архитектуру системы, взаимосвязи пользователей. Предложена комплексная модель информационной системы интернет-банкинга, использование которой позволит минимизировать количество атак хакеров, оптимизировать и совершенствовать комплексную систему информационной безопасности банковских организаций, повысить эффективность использования защи-
Том 10. № 5 (59). 2015
щенной информационной системы интернет-банкинга, выбрать успешную стратегию развития услуги интернет-банкинга и дистанционного банковского обслуживания.
Комплексная модель информационной системы интернет-банкинга позволит оценить уровень защищенности системы, который определяется путем решения задачи поддержки принятия решений в слабо структурированной предметной области [24], характеризующейся разнотипными показателями. Предложена теоретико-множественная модель поддержки принятия решений при управлении информационной защитой систем интернет-банкинга, программная реализация которой позволит накапливать аналитическую информацию о реализуемых угрозах хакерами, обеспечить автоматизированную поддержку принятия решений по вопросам нейтрализации атак хакеров, обеспечения мер защиты конфиденциальной информации, облегчить процесс выработки управляющих воздействий.
В статье описана семантическая обобщенная схема хищения конфиденциальной информации в системах интернет-банкинга, представлена формализация модели нарушителя (хакера), характеризующаяся личностными параметрами нарушителя и сценариями действий по хищению конфиденциальной информации в системе интернет-банкинга. В основу модели нарушителя (хакера) заложены типовые образы хакера, которые позволят определить потенциального нарушителя в системах интернет-банкинга и дистанционного банковского обслуживания.
Предложенные решения позволят увеличить мощность информационной безопасности систем интернет-банкинга, систем дистанционного банковского обслуживания, эффективность и качество принятия управленческих решений по защите конфиденциальной информации.
Анализ проблемы
В настоящее время происходит масштабная информатизация и глобализация обще-
ства. Современные web-технологии дают возможность использовать онлайн-серви-сы для распределения и оптимизации своих ресурсов, повышения качества жизнедеятельности, получения нового вида услуг.
Интернет-банкинг — новый вид услуги современной социально-экономической сферы, обладающей множеством преимуществ, за ней — большое будущее. Популярность данной услуги не вызывает сомнения. Анализ источника [2] показал, что существует прямая зависимость между полнотой функциональных возможностей и удобством использования информационных систем интернет-банкинга (чем большим функционалом обладает система интернет-банкинга, тем дружественнее ее интерфейс) [4]. Обладатели систем интернет-банкинга (банковские организации) заинтересованы в их совершенствовании, повышении качества обслуживания клиентов, расширении функциональных возможностей, повышении уровня информационной безопасности. Заинтересованность банковских организаций в развитии собственных систем интернет-банкинга [11] показана на рис. 1.
На рис. 1 проиллюстрирован график распределения банковских организаций по заинтересованности в развитии собственных систем интернет-банкинга [11], где приняты следующие обозначения: C — устаревший интернет-банк, плохо реализующий базовые функции отображения информации о счетах, картах и возможности совершения платежей; B, BB, BBB — интернет-банк как информационный и платежный инструмент (уровень реализации информационных и платежных возможностей отражает число букв в оценке (от одной до трех)); A, AA, AAA — интернет-банк как замена банковского отделения и контакт-центра (помимо информационных и платежных возможностей реализованы возможности управления своими счетами и картами, а также дополнительными сервисами); «+» — инновационный интернет-банк (помимо возможностей, соответствующих оценкам уровней C, В и A,
\ 63
Vol. 10. No. 5 (59). 2015
Рис. 1. Распределение банковских организаций по качеству систем интернет-банкинга Fig. 1. Distribution of banking organizations for quality Internet banking
предлагает пользователям дополнительные «небанковские» функции).
Массовое использование информационных систем интернет-банкинга порождает проблему киберпреступлений. Интернет-банкинг — легкая «добыча» для хакеров. Первые попытки киберопераций по хищению денежных средств были сделаны хакерами-мошенниками еще в 2009 г. Хакеры находят все более оригинальные алгоритмы по реализации атак на информационные системы интернет-банкинга и хищению денежных средств. На сегодняшний день при удачной атаке хакер может получить практически неограниченные возможности по управлению уязвимой информационной
системой интернет-банкинга. Анализ литературы [2; 3; 7; 12-15; 17-19] показывает, что, несмотря на интенсивные исследования в области разработки систем защиты информации, проблема обеспечения информационной безопасности остается чрезвычайно актуальной, требует разработки новых подходов к ее решению.
Анализ литературных источников [6; 8; 9; 20-23] позволил сделать вывод, что кибер-преступления в системах интернет-банкинга имеют тенденцию роста. Динамика статистических данных за 2014 г. представлена на рис. 2. Среднее значение количества персональных компьютеров, атакованных вредоносным программным обеспе-
S о
го s
S i * g
С x
g а
350 300 250 200 150 100 50
янв.14 фев.14мар.14 апр.14 май.14 июн.14 июл.14 авг.14 сен.14 окт.14 ноя.14 дек.14
Рис. 2. Количество киберпреступлений в системах интернет-банкинга за 2014 г., тыс. ед. Fig. 2. The number of cybercrimes in online banking for 2014, ths. units
0
64 J
Том 10. № 5 (59). 2015
чением при использовании информационных систем интернет-банкинга, составило 244 380 шт.
Потенциальных нарушителей можно разделить на внутренних нарушителей из числа сотрудников банковской организации и внешних нарушителей — хакеров информационной системы интернет-банкинга. Предполагается, что потенциальный хакер обладает высокой квалификацией, знаниями в ^-сфере, программно-аппаратными средствами реализации атаки. В связи с этим возникает необходимость в комплексном выборе мер и средств обеспечения защиты информации в системах интернет-банкинга от умышленного ее разрушения, кражи, порчи, несанкционированного доступа, чтения и копирования потенциальными нарушителями.
теоретико-множественная модель системы поддержки принятия решений при управлении информационной защитой в системах интернет-банкинга
Предлагается теоретико-множественная модель системы поддержки принятия решений при управлении информационной защитой в системах интернет-банкинга, использование которой обеспечит противодействие атакам хакеров, оптимизацию и совершенствование информационной безопасности, повышение эффективности использования защищенной информационной системы интернет-банкинга.
Программная реализация данной модели может быть автономным модулем информационной системы интернет-банкинга, которая позволит вырабатывать рекомендации по обеспечению информационной безопасности системы интернет-банкинга. Модель системы поддержки принятия решений взаимодействует с моделью угроз, моделью хакера на базе существующих (действующих) средств защиты информации и нормативных документов ФСБ и ФСТЭК России [23]. Обобщенная структурная схема информационной системы интернет-банкинга, отражающая модульную архитектуру системы,
взаимосвязи пользователей и контур управления, представлена на рис. 3.
Комплексную модель информационной системы интернет-банкинга можно представить в виде
Sib = (User, Tr, Mp, Pr , T;j),
где User — пользователи (клиенты) информационной системы интернет-банкинга, User = user u user,; user, = {user1, user2, ..., userm} — легальные пользователи информационной системы интернет-банкинга;
user = {user, user2,..., users} — киберпре-ступники (хакеры) информационной системы интернет-банкинга; Tr = {tr1, tr2, ..., trY} — множество транзакций от пользователей User; Pr — параметр, характеризующий электронную банковскую деятельность; T = {0; 1} — выходной параметр Slb; Tr" = 1 в случае, если транзакция выполнена успешно, Тг" = 0 в противном случае.
Теоретико-множественная модель поддержки принятия решений Mp применяется при управлении информационной защитой систем интернет-банкинга:
Mp = (L, N, 0,
где L — входной параметр модели Mp; N — обобщенный параметр модели Mp , характеризующий процесс поддержки принятия решений;
0 — выходной параметр модели Mp , представляет собой рекомендации по обеспечению информационной безопасности информационной системы интернет-банкинга;
0 = {еф I ф = 1^};
01 — рекомендации по совершенствованию аппаратной защиты информации;
02 — рекомендации по совершенствованию программной защиты информации;
03 — рекомендации по совершенствованию организационно-правовой части защиты информации;
\ 65
Vol. 10. No. 5 (59). 2015
Пользователи системы интернет-банкинга
!РЫ Легальные пользователи
Транзакции
Проблемная ситуация
Система интернет-банкинга
Система поддержки принятия решений
Запрос
Модуль формирования запроса
Ф
Модуль поиска решений
База данных
Специалист (инженер) по знаниям
Модуль обучения
5==-^ Модуль
База правил пополнения
базы правил
Эксперт
'fh
Q
<7
1 — __ -- — —
Анализ Принятие решений Выбор управляющего воздействия
I
Ж
Процесс обеспечения информационной безопасности
Рекомендации по обеспечению информационной безопасности
Модель угроз
Средства защиты информации
Модель хакера
Нормативные документы ФСТЭК РФ, ФСБ РФ
_______________А_______________
Электронная банковская деятельность
Транзакция отклонена
Транзакция успешно завершена
Рис. 3. Обобщенная структурная схема информационной системы интернет-банкинга Fig. 3. A generalized block diagram of an information system of Internet banking
База знаний
64 — рекомендации по совершенствованию физической защиты информации.
Использование комплексной модели информационной системы интернет-банкинга позволит минимизировать количество атак хакеров, оптимизировать и совершенствовать комплексную систему информационной безопасности организаций экономической
и социальной сферы, повысить эффективность использования защищенной информационной системы интернет-банкинга, выбрать правильную стратегию развития услуги интернет-банкинга.
Предложенная теоретико-множественная модель поддержки принятия решений при управлении информационной защитой систем интернет-банкинга позволит накапли-
66
ПРИКЛАДНАЯ ИНФОРМАТИКА / JOURNAL OF APPLIED INFORMATICS /-
' Том 10. № 5 (59). 2015
вать аналитическую информацию о реализуемых угрозах хакеров, обеспечить автоматизированную поддержку принятия решений по вопросам нейтрализации атак хакеров, обеспечения мер защиты конфиденциальной информации, облегчить процесс выработки управляющих воздействий.
Входной параметр модели Мр можно представить в виде выражения
L = ^ег, М"9, Sz, Y, Мк , N0) ,
где Zuser — запрос (проблемная ситуация); М"9 — модель угроз, на основе которой определяется вероятность реализации угроз р' в информационной системе интернет-банкинга; в : М"9 ^ р'; Р' ={р1, р2, р3}; Р1 = {0;1};
р1 = 1 в случае, если вероятность угроз в информационной системе интернет-банкинга очень высокая;
р1 = 0 в случае, если вероятность угроз в информационной системе интернет-банкинга очень низкая;
р2 = {0;1} , р2 = 1 в случае, если вероятность угроз в информационной системе интернет-банкинга высокая;
р2 = 0 в случае, если вероятность угроз в информационной системе интернет-банкинга низкая; р3 = {0; 1};
р3 = 1 в случае, если вероятность угроз в информационной системе интернет-банкинга соответствует среднему значению; р3 = 0 в случае, если вероятность угроз в информационной системе интернет-банкинга ниже среднего значения; Sz — наличие средств защиты информации;
Sz = ^, sZ2, sZз} , где sZt — средства защиты информации имеются в достаточном объеме;
s — средства защиты информации имеются в ограниченном объеме; s — средства защиты информации отсутствуют;
Y — предполагаемый ущерб от реализации угроз в информационной системе интернет-банкинга;
£ : М"9 х Мк ^ У, Мк — модель хакера, в основу которой заложены типовые образы хакера, позволяющие определить потенциального нарушителя в информационной системе интернет-банкинга; N0 = {ndj I i = 1,^ — нормативные документы ФСБ и ФСТЭК России.
Обобщенный параметр N модели Мр можно представить в виде выражения
N = {М^В^^, Я, Шег^,
где М^ =М, Мрг, МрЬр, МоЬ} множество модулей модели Мр,
где Mz — модуль формирования запроса;
Мрг — модуль поиска решений;
МрЬр — модуль пополнения базы правил;
МоЬ — модуль обучения;
В^ = {вё1 Bz,Вр} множество баз данных,
правил и знаний модели Мр ;
В* — база данных;
Bz — база знаний;
Вр — база правил;
Z = I ф = 1,s} — запросы;
Я = {гб1 а = 1, м} — решения;
^ег^ = {userSР, user;;p, userSР} — пользователи системы поддержки принятия решений; где useгSР — специалист (инженер) по знаниям;
useгSР — эксперт;
useг3SР — лицо, принимающее решение; X : Zuseг ^ Mz; 5 : М11 х Мрг ^ Вр ; е : МрЬр х useгsp ^ Вр; Ф: МоЬ х useг;ip ^ Bz; о : Bz ^ В* ;
V : Bz х(В* х МоЬ Мрг; useгSР = {п, т, о} ;
где п — процесс анализа; т — процесс принятия решений; ст — процесс выбора управляющего воздействия;
п: Z хпхтхо^ Я ; и: Я .
v_67
-ч ПРИКЛАДНАЯ ИНФОРМАТИКА / JOURNAL OF APPLIED INFORMATICS
Vol. 10. No. 5 (59). 2015 '
семантическая обобщенная схема хищения конфиденциальной информации в системах интернет-банкинга
Наряду с ростом популярности использования информационных систем интернет-банкинга растет и число хищений, преследующих определенные цели. Реальностью стало мошенничество хакеров [5; 6; 16; 18]. Как правило, мошенничество в информационных системах интернет-банкинга осуществляется по сценариям, заданным хакерами.
Так, наиболее распространенным вредоносным программным обеспечением, применяемым для атак на системы интернет-банкинга в России, являются Shiz, Hodprot, Carberp и RDPdoor. Такое программное обеспечение чаще всего распространяется через уязвимости в браузерах, их настройках и программах для просмотра офисных документов и может инфицировать уязвимые устройства и компьютеры практически на любой платформе, но чаще всего на операционной системе Windows. После инфицирования компьютера злоумышленник (хакер) получает доступ к конфиденциальной информации, вводимой пользователем
и хранимой на данном устройстве. Особую ценность для злоумышленников имеют данные, позволяющие получить доступ к системе интернет-банкинга и конфиденциальной информации:
• логины/пароли и ключи доступа к системам интернет-банкинга;
• данные, утекшие с корпоративных доменов и диапазонов IP-адресов: корпоративные e-mail аккаунты, доступы к внутренним ресурсам и т. д. [10].
Семантическая обобщенная схема хищения конфиденциальной информации в системах интернет-банкинга представлена на рис. 4.
Модель нарушителя (хакера)
Формализуем модель нарушителя (хакера), которая характеризуется личностными параметрами нарушителя и сценариями действий по хищению конфиденциальной информации в системах интернет-банкинга. В основу модели нарушителя (хакера) заложены его типовые образы, которые позволят определить потенциального нарушителя в информационной системе интернет-банкинга.
Клиент банковской организации
Рис. 4. Семантическая обобщенная схема хищения конфиденциальной информации в системах
интернет-банкинга
Fig. 4. Semantic generalized scheme of theft of confidential information in online banking
68
Том 10. № 5 (59). 2015
Рис. 5. Возможности внешнего хакера Fig. 5. Features external hacker
При использовании информационной системы интернет-банкинга будем рассматривать только внешнего нарушителя (хакера), который может реализовать атаки на систему различными алгоритмами с использованием современных методов и средств получения конфиденциальной информации (рис. 5).
Модель нарушителя (хакера) можно представить в виде выражения
Мк = (РАск, ОЬг),
где Р1 - личностные параметры нарушителя (хакера);
Аск — сценарий действий хищения информации в информационных системах интернет-банкинга;
ОЬг — образ нарушителя (хакера); I: Р1 хАск ^ ОЬг ;
Р! = {ук,Яiskk,ОЯк,Яsk} ,
где Ук — возраст;
№к — пол;
С^ — мотивация;
Яiskk — риск;
ОЯк — опыт работы (знания) в 1Т-сфере; Яsk — доступные ресурсы для реализации угрозы;
Аск = {аСк ,а2Ск,..., аСк,} — множество сценариев хищения информации в S!Ь; ОЬг = {оЬг, оЬг2,..., оЬгу } .
Заключение
Предложенные в работе модели — комплексная модель информационной системы интернет-банкинга, теоретико-множественная модель поддержки принятия решений
\ 69
Vol. 10. No. 5 (59). 2015
при управлении информационной безопасностью систем интернет-банкинга, модель нарушителя (хакера) — позволят совершенствовать систему защиты информации, рационально использовать современные методы и средства защиты информации, за счет которых увеличится мощность информационной безопасности информационной системы интернет-банкинга, а также возрастут эффективность и качество принятия управленческих решений по защите конфиденциальной информации.
Список литературы
1. Безмалый В. Защита интернет-банкинга // Windows IT Pro/RE. 2012. № 11. С. 22-25.
2. Богданова М. И. О роли социальной инженерии при атаках на информационную безопасность предприятия // В мире научных открытий. 2010. № 1-4. С. 145-150.
3. Гузаиров М. Б., Сметанина О. Н, Сафиуллина Д. Ф, Маркушева А. М. Информационное, математическое и программное обеспечение поддержки решений при отборе претендентов // Вестник Уфимского государственного авиационного технического университета. 2014. Т. 18. № 5. С. 185-191.
4. ДБО — Системы дистанционного банковского обслуживания. URL: http://www.tadviser.ru
5. Дранко О. И., Отарашвили З. А., Сушков Д. В. Формирование программы инновационного развития: управление стоимостью бизнеса COST MANAGEMENT UNDER PROGRAM OF INNOVATIONS // Проблемы управления. 2012. № 6. С.26-31.
6. Закиров М. Р. Исследование угроз нарушения безопасности в системах дистанционного банковского обслуживания // Информационное противодействие угрозам терроризма. 2014. № 22. С. 43-47.
7. Ириков В. А, Михеев В. А, Отарашвили З. А, Сушков Д. В. Разработка программы инновационного развития предприятия. Монография. Сер. Успешный российский опыт и технологии результативного инновационного развития. М.: ООО «Издательская группа "Логос"», 2013. — 112 с.
8. Ириков В. А., Отарашвили З. А. Алгоритмы и информационные технологии решения типовых задач подготовки и принятия выгодных финансовых стратегий. Монография. М.: Российский новый университет, 2011. — 104 с.
9. Киберреальная угроза. URL: http://bankir.ru/novosti/s/ kiberrealnaya-ugroza-10103105/
10. Кислицин Н. Угрозы в системах ДБО и методы борьбы с фродом. URL: http://www.journal.ib-bank.ru/ pub/192.
11. Крупные компании не защищены даже от неквалифицированных хакеров. URL: http://www.crn.ru/news/ detail. php?ID=87552
12. Петровский В. И., Тумбинская М. В. Оптимизация комплексной системы защиты информации на предприятиях различных форм собственности // Proceedings of the 2nd International Conference on «Information Technologies for Intelligent Decision Making Support and the International Workshop on Robots and Robotic Systems»: материалы II международной конференции. Уфа, 2014. С. 28-32.
13. Отарашвили З. А. Поэтапный анализ реализации проектов // XII Всероссийское совещание по проблемам управления ВСПУ-2014. 2014. С. 54125416.
14. Рудакова О. С., Родина Ю. В. Анализ угроз информационной безопасности кредитных организаций // Национальные интересы: приоритеты и безопасность. 2009. № 23. С. 61-67.
15. Сиротский А. А. Совершенствование методов обеспечения безопасности при авторизации в системах дистанционного банковского обслуживания // Технологии техносферной безопасности. 2013. № 6. С. 14-19.
16. Томилин А. Н, Крайнева И. А, Трегубов В. М, Тумбинская М. В. Третья международная конференция «история вычислительной техники и ее программного обеспечения в России и странах бывшего СССР: история и перспективы» (S0RUC0M-2014) // Вопросы истории естествознания и техники. 2015. Т. 36. № 1. С. 173-180.
17. Тумбинская М. В. Принятие решений при оценивании знаний и управлении в интерактивной обучающей системе: автореф дисС. канд. техн. наук... по спец. 05.13.10. Уфа: УГАТУ, 2011. — 16 с.
18. Тумбинская М. В. Организационное обеспечение процесса управления IT-инфраструктурой в системе защиты информации на предприятии // Национальные интересы: приоритеты и безопасность. 2015. № 1 (286). С. 31-41.
19. Тумбинская М. В. Информационная поддержка при обеспечении защищенности систем интернет-банкинга // Национальные интересы: приоритеты и безопасность. 2015. № 15 (300). С. 48-58.
20. Тумбинская М. В. Совершенствование функционирования информационных систем INTERNET BANKING // Информационные системы и технологии. 2015. № 3 (89). С. 78-86.
21. Царегородцев А. В. Анализ рисков безопасности данных в корпоративных сетях кредитно-финансовых организаций на основе облачных вычислений // Национальные интересы: приоритеты и безопасность. 2013. № 39. С. 30-41.
22. Фаттахов Р. В., Иванова Е. И., Сметанина О. Н. О роли информационных ресурсов при поддержке принятия управленческих решений на региональном уровне // Вестник Уфимского государственного авиационного технического университета. 2007. Т. 9. № 2. С. 82-87.
Том 10. № 5 (59). 2015
23. Федеральная служба по техническому и экспортному контролю (ФСТЭК России). URL: http://fstec.ru
24. Юсупова Н. И., Шахмаметова Г. Р. Математическое и программное обеспечение для управления сложным техническим объектом на основе антикризисного подхода // Современные проблемы науки и образования. 2013. № 6. С. 123.
25. Юсупова Н. И., Сметанина О. Н, Ясинецкий С. П., Климова А. В. Модели и программный комплекс для реализации информационного поиска при поддержке управленческих решений // Современные проблемы науки и образования. 2014. № 1. С. 214.
References
1. Bezmalyj V. Zashhita internet-bankinga [Protection of Internet banking]. Windows IT Pro/RE. 2012, no. 11. pp. 22-25.
2. Bogdanova M. I. O roli social'noj inzheneriipri atakah na informacionnuju bezopasnost' predprijatija [On the role of social engineering in attacks on information security]. Vmire nauchnyh otkrytij, 2010, no. 1-4, pp. 145-150.
3. Guzairov M. B., Smetanina O. N., Safiullina D. F., Markusheva A. M. Informacionnoe, matematiches-koe i programmnoe obespechenie podderzhki resh-enij pri otbore pretendentov [Information, mathematical and software support solutions in the selection of candidates]. Vestnik Ufimskogo gosudarstvennogo aviacionnogo tehnicheskogo universiteta, 2014, no. 5, pp. 185-191.
4. DBO — Sistemy distancionnogo bankovskogo obslu-zhivanija [RB — Remote banking services]. Available at: http://www.tadviser.ru (accessed 22.05.2015).
5. Dranko O. I., Otarashvili Z. A., Sushkov D. V. Formirovanie programmy innovacionnogo razvitija: upravlenie stoimost'ju biznesa COST MANAGEMENT UNDER PROGRAM OF INNOVATIONS [Formation of innovative development program: cost management business COST MANAGEMENT UNDER PROGRAM OF INNOVATIONS]. Problemyupravlenija, 2012, no. 6, pp. 26-31.
6. Zakirov M. R. Issledovanie ugroz narushenija bezopas-nosti v sistemah distancionnogo bankovskogo obslu-zhivanija [Research security threats to e-banking system]. Informacionnoe protivodejstvie ugrozam terror-izma, 2014, no. 22, pp. 43-47.
7. Irikov V. A., Miheev V. A., Otarashvili Z. A., Sush-kov D. V. Razrabotka programmy innovacionnogo raz-vitija predprijatija [Development of the program of innovative development of enterprise]. Monografija. Ser. Uspeshnyj rossijskij opyt i tehnologii rezul'tativnogo innovacionnogo razvitija. Moscow, OOO «Izdatel'skaja gruppa «Logos» Publ., 2013. 112 p.
8. Irikov V. A., Otarashvili Z. A. Algoritmy i informacionnye tehnologii reshenija tipovyh zadach podgotovki i prin-jatija vygodnyh finansovyh strategij [Algorithms and information technology solutions to typical problems of preparation and adoption of beneficial financial strate-
gies]. Monografija. Moscow, Rossijskij novyj universitet Publ., 2011. 104 p.
9. Kiberreal'naja ugroza [Kiberrealnaya threat]. Available at: http://bankir.ru/novosti/s/kiberrealnaya-ugro-za-10 103 105/ (accessed 15.05.2015)
10. Kislicin N. Ugrozy v sistemah DBO i metody borby s frodom [Threats RBS and methods of struggle against Fraud]. Available at: http://www.journal.ib-bank.ru/ pub/192 (accessed 08.10.2015).
11. Krupnye kompanii ne zashhishheny dazhe ot nekvali-ficirovannyh hakerov [Large companies are not protected even by unskilled hackers]. Available at: http://www.crn.ru/news/detail.php?ID=87552 (accessed 15.06.2015).
12. Petrovskij V. I., Tumbinskaja M. V. Optimizacija kom-pleksnoj sistemy zashhity informacii na predprijatijah razlichnyh form sobstvennosti [Optimization of a comprehensive information security system in enterprises of different ownership forms]. Materialy II mezhdunarod-noj konferencii [Proceedings of the 2nd International Conference on «Information Technologies for Intelligent Decision Making Support and the International Workshop on Robots and Robotic Systems»]. Ufa, 2014, pp. 28-32.
13. Otarashvili Z. A. Pojetapnyj analiz realizacii proektov [Phased Implementation Review]. XII Vserossijskoe soveshhanie po problemam upravlenija VSPU-2014, 2014, pp. 5412-5416.
14. Rudakova O. S., Rodina Ju. V. Analiz ugroz informa-cionnoj bezopasnosti kreditnyh organizacij [An analysis of threats to information security of credit institutions]. Nacional'nye interesy: prioritety i bezopasnost', 2009, no. 23, pp. 61-67.
15. Sirotskij A. A. Sovershenstvovanie metodov obespech-enija bezopasnosti pri avtorizacii v sistemah distan-cionnogo bankovskogo obsluzhivanija [Improved methods of ensuring safety in the authorization in e-banking system]. Tehnologii tehnosfernoj bezopasnosti, 2013, no. 6, pp. 14-19.
16. Tomilin A. N., Tregubov V. M., Krajneva I. A., Tumbinskaja M. V. Tret'ja mezhdunarodnaja konferencija «is-torija vychislitel'noj tehniki i ee programmnogo obe-spechenija v Rossii i stranah byvshego SSSR: istorija i perspektivy» (SORUCOM-2014) [The role of the community SORUCOM in preserving historical and scientific heritage in the field of domestic computer technology and softwa The Third International Conference «the history of computer technology and software in Russia and the former Soviet Union: History and Prospects» (SORUCOM-2014)]. Voprosy istorii estestvoznanija i tehniki, 2015, no. 1 (36), pp. 173-180.
17. Tumbinskaja M. V. Prinjatie reshenijpriocenivaniiznanij i upravlenii v interaktivnoj obuchajushhej sisteme. Av-toref diss. kand. tekhn. nauk [Making decisions when evaluating and managing knowledge in an interactive learning system. Abstract of the thesis PhD. tehn. sci. diss.]. Ufa, UGATU Publ., 2011. 16 p.
18. Tumbinskaja M. V. Organizacionnoe obespechenie processa upravlenija IT-infrastrukturoj v sisteme zash-
v^1
Vol. 10. No. 5 (59). 2015
hity informacii na predprijatii [Organizational support of IT-infrastructure management system of information security in the enterprise]. Nacional'nye interesy: prior-itety ibezopasnost', 2015, no. 1 (286), pp. 31-41.
19. Tumbinskaja M. V. Informacionnaja podderzhka pri obespechenii zashhishhennosti sistem internet-bankinga [Information support in ensuring security of Internet banking]. Nacional'nye interesy: prioritety i bezopasnost', 2015, no. 15 (300), pp. 48-58.
20. Tumbinskaja M. V. Sovershenstvovanie funkcionirovani-ja informacionnyh sistem INTERNET BANKING [Improving the functioning of information systems INTERNET BANKING]. Informacionnye sistemy i tehnologii, 2015, no. 3 (89), pp. 78-86.
21. Caregorodcev A. V. Analiz riskov bezopasnosti dan-nyh v korporativnyh setjah kreditno-finansovyh orga-nizacij na osnove oblachnyh vychislenij [Risk analysis of safety data in corporate networks, credit and financial institutions on the basis of cloud computing]. Nacional'nye interesy: prioritety i bezopasnost', 2013, no. 39, pp. 30-41.
22. Fattahov R. V., Ivanova E. I., Smetanina O. N. O roli informacionnyh resursov pri podderzhke prinjatija up-
ravlencheskih reshenij na regional'nom urovne [On the role of information resources with the support of management decision-making at the regional level]. Vestnik Ufimskogo gosudarstvennogo aviacionnogo tehnicheskogo universiteta, 2007, no. 2, pp. 82-87.
23. Federa!naja sluzhba po tehnicheskomu i jeksportnomu kontrolju (FSTJeK Rossii) [The Federal Service for Technical and Export Control (FSTEC Russia)]. Available at: http://fstec.ru (accessed 28.06.2015)
24. Jusupova N. I., Shahmametova G. R. Matematicheskoe i programmnoe obespechenie dlja upravlenija slozh-nym tehnicheskim ob'ektom na osnove antikrizisnogo podhoda [Mathematical and software to manage complex technical objects on the basis of anti-crisis approach]. Sovremennye problemy nauki i obrazovanija, 2013, no. 6, p. 123.
25. Jusupova N. I., Smetanina O. N., Jasineckij S. P., Kli-mova A. V. Modeli i programmnyj kompleks dlja real-izacii informacionnogo poiska pri podderzhke uprav-lencheskih reshenij [Models and software systems for the implementation of information retrieval, with the support of management decisions]. Sovremennye problemy nauki i obrazovanija, 2014, no. 1, p. 214.
M. Tumbinskaya, Kazan National Research Technical University Named after A. N. Tupolev — KAI, Kazan, Russia, [email protected]
Secure information system model of Internet banking
In the paper we propose a generalized block diagram of an information system of Internet banking, which reflects the modular architecture of the system, the relationship of users and the control loop. We propose a system model of information system of Internet banking, the use of which will help minimize the number of cybercriminals, optimize and improve the comprehensive system of information security organizations of economic and social development, improve the efficiency of secure information systems Internet banking, choose the right strategy for the development of Internet banking services. Model of information system of Internet banking will assess the level of security of the system, which is determined by solving the problem of decision support in poorly structured domain, characterized by heterogeneous characteristics. Proposed a set-theoretic model of decision support in Information Security Management Information Systems Internet banking, allowing accumulate analytical information about ongoing threats cybercriminals provide automated support for decisions on matters of neutralization cybercriminals, measures to ensure the protection of confidential information, facilitate the development of operating influences. The article presents a formalization of the model cybercriminals, characterized by personal parameters offender and scenarios for the theft of confidential information in the information system of Internet banking. The basis of the model laid down by cybercriminals typical images of cybercriminals, who will determine the potential intruder in the information system of Internet banking. The proposed solutions will increase the power of information security information system of Internet banking, to increase the efficiency and quality of management decision-making for the protection of confidential information.
Keywords: modeling, information security, information systems, Internet banking, a hacker, decision support, attacks and threats.
About author: M. Tumbinskaya, PhD in Technique
For citation: Tumbinskaya M. Secure information system model of Internet banking. Prikladnaya Informatika — Journal of Applied Informatics, 2015, vol. 10, no. 5 (59), pp. 62-72 (in Russian).