سيكون الطلاب وطلاب الدراسات العليا والعلماء الشباب الذين يستخدمون قاعدة المعرفة في دراساتهم وعملهم ممتنين جدًا لك.
نشر على http://www.allbest.ru/
وزارة التعليم العام والمهني لمنطقة روستوف
المؤسسة التعليمية لميزانية الدولة للتعليم المهني الثانوي في منطقة روستوف
"كلية روستوف أون دون للاتصالات والمعلوماتية"
حسب التخصص: "أمن المعلومات"
سمة: حماية معلومات البنوك
يقوم به طالب
كلادوفيكوف في.
المجموعة PO-44
تخصص 23010551 البرمجيات
أجهزة الكمبيوتر والأنظمة الآلية
القائد: Semergey S.V.
مقدمة
1. ميزات أمن المعلومات للبنوك
2. أمن أنظمة معالجة المعلومات الآلية في البنوك (ASOIB)
3. أمن المدفوعات الإلكترونية
4. تأمين المدفوعات الشخصية للأفراد
استنتاج
التطبيقات
مقدمة
منذ نشأتها ، كانت البنوك دائمًا ما تثير اهتمامًا جنائيًا. ولم يكن هذا الاهتمام مرتبطًا فقط بتخزين الأموال في مؤسسات الائتمان ، ولكن أيضًا بحقيقة أن المعلومات المهمة والتي غالبًا ما تكون سرية حول الأنشطة المالية والاقتصادية للعديد من الأشخاص والشركات والمنظمات وحتى دول بأكملها كانت مركزة في البنوك. في الوقت الحاضر ، نتيجة للانتشار الواسع النطاق للمدفوعات الإلكترونية والبطاقات البلاستيكية وشبكات الكمبيوتر ، أصبحت أموال كل من البنوك وعملائها هدفًا لهجمات المعلومات. يمكن لأي شخص محاولة السرقة - فأنت تحتاج فقط إلى جهاز كمبيوتر متصل بالإنترنت. علاوة على ذلك ، هذا لا يتطلب الدخول المادي للبنك ، يمكنك "العمل" وآلاف الكيلومترات منه.
هذه هي المشكلة التي هي الآن الأكثر إلحاحًا والأقل دراسة. في حالة ضمان أمن المعلومات المادي والكلاسيكي ، تم تطوير مناهج راسخة منذ فترة طويلة (على الرغم من حدوث التطوير هنا أيضًا) ، ثم فيما يتعلق بالتغييرات الجذرية المتكررة في تقنيات الكمبيوتر ، وطرق الأمان لأنظمة معالجة المعلومات الآلية للبنك ( ASOIB) تتطلب تحديثًا مستمرًا. كما تبين الممارسة ، لا توجد أنظمة كمبيوتر معقدة لا تحتوي على أخطاء. ونظرًا لأن أيديولوجية بناء ASOIB الكبيرة تتغير بانتظام ، فإن تصحيح الأخطاء و "الثغرات" الموجودة في أنظمة الأمان لا يكفي لفترة طويلة ، نظرًا لأن نظام الكمبيوتر الجديد يجلب مشاكل جديدة وأخطاء جديدة ، مما يجعل من الضروري إعادة بناء نظام الأمان في طريقة جديدة.
في رأيي ، يهتم الجميع بسرية بياناتهم الشخصية المقدمة للبنوك. بناءً على ذلك ، فإن كتابة هذا المقال ودراسة هذه المشكلة ، في رأيي ، ليست مثيرة للاهتمام فحسب ، بل إنها مفيدة للغاية أيضًا.
1. ميزات أمن معلومات البنوك
لطالما كانت المعلومات المصرفية موضع اهتمام وثيق لجميع أنواع المتسللين. تبدأ أي جريمة مصرفية بتسريب المعلومات. الأنظمة المصرفية الآلية هي قنوات لمثل هذه التسريبات. منذ بداية إدخال الأنظمة المصرفية الآلية (ABS) ، أصبحت هدفًا لانتهاكات إجرامية.
على سبيل المثال ، من المعروف أنه في أغسطس 1995 ، تم إلقاء القبض على عالم الرياضيات الروسي فلاديمير ليفين البالغ من العمر 24 عامًا في بريطانيا العظمى ، والذي تمكن ، باستخدام جهاز الكمبيوتر الخاص به في منزله في سانت بطرسبرغ ، من اختراق النظام المصرفي لأحد أكبر البنوك الأمريكية ، Citibank ، وحاول سحب مبالغ كبيرة من حساباته. وفقًا لمكتب موسكو لسيتي بنك ، لم ينجح أحد حتى ذلك الحين. اكتشف جهاز الأمن Citibank أنهم حاولوا سرقة 2.8 مليون دولار من البنك ، لكن أنظمة التحكم اكتشفت ذلك في الوقت المناسب وحظرت الحسابات. تمكنوا من سرقة 400 ألف دولار فقط.
في الولايات المتحدة ، يتراوح حجم الخسائر السنوية للمؤسسات المصرفية من الاستخدام غير القانوني لمعلومات الكمبيوتر ، وفقًا للخبراء ، من 0.3 إلى 5 مليارات دولار. المعلومات هي جانب من جوانب المشكلة العامة للأمن المصرفي.
في هذا الصدد ، تختلف استراتيجية أمن المعلومات للبنوك اختلافًا كبيرًا عن الاستراتيجيات المماثلة للشركات والمؤسسات الأخرى. ويرجع ذلك في المقام الأول إلى الطبيعة المحددة للتهديدات ، فضلاً عن الأنشطة العامة للبنوك ، والتي تضطر إلى جعل الوصول إلى الحسابات أمرًا سهلاً بدرجة كافية لراحة العملاء.
تقوم الشركة العادية ببناء أمن المعلومات الخاص بها بناءً على نطاق ضيق من التهديدات المحتملة - بشكل أساسي حماية المعلومات من المنافسين (في الواقع الروسي ، تتمثل المهمة الرئيسية في حماية المعلومات من السلطات الضريبية والمجتمع الإجرامي من أجل تقليل احتمالية حدوث حالة غير خاضعة للرقابة زيادة مدفوعات الضرائب والابتزاز). هذه المعلومات تهم فقط دائرة ضيقة من الأشخاص والمنظمات المهتمة ونادرًا ما تكون سائلة ، أي. قابلة للتحويل إلى شكل نقدي.
يجب أن يأخذ أمن المعلومات المصرفية في الاعتبار العوامل المحددة التالية:
1. المعلومات المخزنة والمعالجة في الأنظمة المصرفية هي أموال حقيقية. بناءً على معلومات الكمبيوتر ، يمكن إجراء الدفعات ، ويمكن فتح قروض ، ويمكن تحويل مبالغ كبيرة. من المفهوم تمامًا أن التلاعب غير المشروع بهذه المعلومات يمكن أن يؤدي إلى خسائر فادحة. توسع هذه الميزة بشكل كبير دائرة المجرمين الذين يتعدون على البنوك (على عكس ، على سبيل المثال ، الشركات الصناعية ، التي لا تهم معلوماتها الداخلية أي شخص).
2. تؤثر المعلومات في الأنظمة المصرفية على مصالح عدد كبير من الأفراد والمؤسسات - عملاء البنك. إنها سرية بشكل عام والبنك مسؤول عن الحفاظ على الدرجة المطلوبة من السرية لعملائه. بطبيعة الحال ، يحق للعملاء توقع أن يهتم البنك بمصالحهم ، وإلا فإنه يخاطر بسمعته مع كل العواقب المترتبة على ذلك.
3. تعتمد القدرة التنافسية للبنك على مدى ملاءمة عمل العميل مع البنك ، فضلاً عن مدى اتساع نطاق الخدمات المقدمة ، بما في ذلك الخدمات المتعلقة بالوصول عن بُعد. لذلك ، يجب أن يكون العميل قادرًا على إدارة أمواله بسرعة ودون إجراءات مملة. لكن سهولة الوصول إلى الأموال تزيد من احتمالية التسلل الإجرامي إلى الأنظمة المصرفية.
4. يجب أن يضمن أمن معلومات البنك (على عكس معظم الشركات) موثوقية عالية لأنظمة الكمبيوتر حتى في حالات الطوارئ ، حيث أن البنك مسؤول ليس فقط عن أمواله الخاصة ، ولكن أيضًا عن أموال العملاء.
5. يقوم البنك بتخزين معلومات مهمة عن عملائه مما يوسع دائرة المتسللين المحتملين المهتمين بسرقة أو إتلاف مثل هذه المعلومات.
لسوء الحظ ، في هذه الأيام ، نظرًا للتطور العالي للتكنولوجيا ، حتى التدابير التنظيمية الصارمة للغاية لتبسيط العمل بالمعلومات السرية لن تحمي من تسربها عبر القنوات المادية. لذلك ، يتطلب النهج المنتظم لحماية المعلومات أن الوسائل والإجراءات التي يستخدمها البنك لضمان أمن المعلومات (التنظيمي والمادي والبرنامجي - التقني) ينبغي اعتبارها مجموعة واحدة من الإجراءات المترابطة والمتكاملة والمتفاعلة. يجب ألا يهدف هذا المركب فقط إلى حماية المعلومات من الوصول غير المصرح به ، ولكن أيضًا إلى منع التدمير العرضي أو التغيير أو الكشف عن المعلومات.
2. أمن أنظمة معالجة المعلومات الآلية في البنوك (ASOIB)
لن يكون من المبالغة القول إن مشكلة الاضطرابات المتعمدة في عمل ASOIB لأغراض مختلفة هي حاليًا واحدة من أكثر المشكلات إلحاحًا. هذا البيان هو الأكثر صحة بالنسبة للبلدان التي لديها بنية تحتية معلوماتية عالية التطور ، كما يتضح من الأرقام أدناه.
من المعروف أن الأضرار الناجمة عن جرائم الكمبيوتر في عام 1992 بلغت 555 مليون دولار ، و 930 سنة من وقت العمل ، و 15.3 سنة من وقت الكمبيوتر. وبحسب بيانات أخرى ، فإن الأضرار التي تلحق بالمؤسسات المالية تتراوح بين 173 مليون دولار و 41 مليار دولار في السنة.
من هذا المثال ، يمكننا أن نستنتج أن أنظمة معالجة المعلومات وحمايتها تعكس النهج التقليدي لشبكة الكمبيوتر كوسيلة لنقل البيانات يحتمل أن تكون غير موثوقة. هناك عدة طرق رئيسية لضمان أمان بيئة البرامج والأجهزة ، يتم تنفيذها بطرق مختلفة:
1.1 إنشاء ملفات تعريف المستخدمين. يتم إنشاء قاعدة بيانات للمستخدمين وكلمات المرور الخاصة بهم وملفات تعريف الوصول إلى الموارد المحلية لنظام الحوسبة على كل عقدة.
1.2 إنشاء ملفات تعريف العملية. يتم تنفيذ مهمة المصادقة بواسطة خادم مستقل (جهة خارجية) ، والذي يحتوي على كلمات مرور لكل من المستخدمين والخوادم المستهدفة (في حالة مجموعة من الخوادم ، تحتوي قاعدة بيانات كلمات المرور أيضًا على خادم مصادقة (رئيسي) واحد فقط ؛ والباقي هو نسخ محدثة بشكل دوري فقط) ... وبالتالي ، يتطلب استخدام خدمات الشبكة كلمتين من كلمات المرور (على الرغم من أن المستخدم يحتاج إلى معرفة واحدة فقط - يتم توفير الثانية له من قبل الخادم بطريقة "شفافة"). من الواضح أن الخادم يصبح عنق الزجاجة للنظام بأكمله ، ويمكن أن يؤدي اختراقه إلى تعريض أمان شبكة الكمبيوتر بالكامل للخطر.
2. تغليف المعلومات المرسلة في بروتوكولات التبادل الخاصة. يعتمد استخدام مثل هذه الأساليب في الاتصالات على خوارزميات تشفير المفتاح العام. في مرحلة التهيئة ، يتم إنشاء زوج من المفاتيح - عام وخاص ، ومتاح فقط للشخص الذي ينشر المفتاح العام. يتمثل جوهر خوارزميات تشفير المفتاح العام في أن عمليات التشفير وفك التشفير تتم بمفاتيح مختلفة (عامة وخاصة ، على التوالي).
3. تقييد تدفق المعلومات. هذه تقنيات معروفة لتقسيم شبكة المنطقة المحلية إلى شبكات فرعية ذات صلة والتحكم في نقل المعلومات بين هذه الشبكات الفرعية والحد منه.
3.1. جدران الحماية تتضمن الطريقة إنشاء خوادم وسيطة خاصة بين الشبكة المحلية للبنك والشبكات الأخرى ، والتي تقوم بفحص وتحليل وتصفية جميع تدفق البيانات التي تمر عبرها (حركة مرور طبقة الشبكة / النقل). هذا يمكن أن يقلل بشكل كبير من خطر الوصول غير المصرح به من الخارج إلى شبكات الشركة ، لكنه لا يلغي هذا الخطر على الإطلاق. نسخة أكثر أمانًا من الطريقة هي التنكر ، حيث يتم إرسال كل حركة المرور الصادرة من الشبكة المحلية نيابة عن خادم جدار الحماية ، مما يجعل الشبكة المحلية المغلقة غير مرئية عمليًا.
3.2 خوادم بروكسي. باستخدام هذه الطريقة ، يتم فرض قيود صارمة على قواعد نقل المعلومات في الشبكة: تُحظر تمامًا جميع حركة مرور طبقة الشبكة / النقل بين الشبكات المحلية والعالمية - ببساطة لا يوجد توجيه على هذا النحو ، والمكالمات من الشبكة المحلية إلى تحدث العالمية من خلال خوادم وسيطة خاصة. من الواضح ، باستخدام هذه الطريقة ، تصبح المكالمات من الشبكة العالمية إلى الشبكة المحلية مستحيلة من حيث المبدأ. ومن الواضح أيضًا أن هذه الطريقة لا توفر حماية كافية ضد الهجمات على المستويات الأعلى ، على سبيل المثال ، على مستوى تطبيق البرنامج.
4. يتيح لك إنشاء شبكات افتراضية خاصة (VPN) ضمان سرية المعلومات بشكل فعال ، وحمايتها من التنصت أو التداخل أثناء نقل البيانات. إنها تسمح لك بإنشاء اتصالات سرية وآمنة عبر شبكة مفتوحة ، والتي عادة ما تكون الإنترنت ، وتوسيع حدود شبكات الشركات إلى المكاتب البعيدة ومستخدمي الهاتف المحمول والمستخدمين المنزليين وشركاء الأعمال. تقضي تقنية التشفير على إمكانية التنصت أو القراءة من قبل أشخاص بخلاف المستلمين المعتمدين للرسائل المنقولة عبر VPN من خلال تطبيق خوارزميات رياضية متقدمة لتشفير الرسائل ومرفقاتها. من المعروف على نطاق واسع أن مركزات Cisco VPN 3000 Series هي أفضل حل VPN للوصول عن بعد في فئتها. مركزات Cisco VPN 3000 ذات الإمكانات الأكثر تقدمًا والموثوقية العالية وبنية هادفة فريدة. تمكن الشركات من بناء بنى تحتية VPN عالية الأداء وقابلة للتطوير وقوية لدعم تطبيقات الوصول عن بعد ذات المهام الحرجة. تعد أجهزة توجيه Cisco ، التي تم تحسينها لشبكات VPN ، مثل أجهزة التوجيه Cisco 800 و 1700 و 2600 و 3600 و 7100 و 7200 ، أدوات مثالية لبناء شبكات VPN من موقع إلى آخر.
5. تخلق أنظمة الكشف عن التطفل وأجهزة فحص الثغرات طبقة إضافية من أمان الشبكة. على الرغم من أن جدران الحماية تسمح أو تؤخر حركة المرور بناءً على المصدر أو الوجهة أو المنفذ أو معايير أخرى ، إلا أنها لا تحلل في الواقع حركة المرور للهجمات ولا تبحث عن الثغرات الأمنية في النظام. بالإضافة إلى ذلك ، لا تتعامل جدران الحماية عادةً مع التهديدات الداخلية من "المطلعين". يمكن لنظام اكتشاف الاختراق (IDS) من Cisco حماية الشبكة المحيطة وشبكات شركاء الأعمال والشبكات الداخلية المعرضة للخطر بشكل متزايد في الوقت الفعلي. يستخدم النظام الوكلاء ، وهي أجهزة شبكة عالية الأداء ، لتحليل الحزم الفردية من أجل اكتشاف النشاط المشبوه. إذا كان هناك نشاط غير مصرح به أو هجوم على الشبكة في دفق البيانات على الشبكة ، فيمكن للوكلاء اكتشاف الانتهاك في الوقت الفعلي وإرسال الإنذارات إلى المسؤول ومنع وصول الدخيل إلى الشبكة. بالإضافة إلى أدوات الكشف عن اختراق الشبكة ، تقدم Cisco أيضًا أنظمة الكشف عن التسلل المستندة إلى الخادم والتي تحمي بشكل فعال خوادم معينة على شبكة المستخدم ، وخاصة خوادم الويب والتجارة الإلكترونية. Cisco Secure Scanner عبارة عن ماسح ضوئي برمجي من الدرجة الصناعية يمكّن المسؤول من تحديد الثغرات الأمنية للشبكة وإصلاحها قبل أن يجدها المتسللون.
مع نمو الشبكات وتصبح أكثر تعقيدًا ، يصبح من الأهمية بمكان طلب ضوابط سياسة أمان مركزية لإدارة عناصر الأمان. تعمل الأدوات الذكية التي يمكنها تحديد سياسات الأمان وإدارتها ومراجعتها على تحسين قابلية استخدام حلول أمان الشبكة وفعاليتها. تتخذ حلول Cisco في هذا المجال نهجًا استراتيجيًا لإدارة الأمن. يدعم Cisco Secure Policy Manager (CSPM) عناصر أمان Cisco لشبكات الشركة من خلال توفير تنفيذ شامل ومتسق لسياسات الأمان. باستخدام CSPM ، يمكن للعملاء تحديد سياسات الأمان وفرضها والتحقق من صحتها عبر مئات من Cisco Secure PIX و Cisco IOS Firewall Feature Set جدار الحماية ووكلاء IDS. يدعم CSPM أيضًا معيار IPsec لبناء شبكات VPN خاصة افتراضية. بالإضافة إلى ذلك ، تعد CSPM جزءًا من نظام إدارة الشركات واسع الانتشار CiscoWorks2000 / VMS.
تلخيصًا للطرق المذكورة أعلاه ، يمكننا القول أن تطوير أنظمة المعلومات يتطلب تطويرًا متوازيًا لتقنيات نقل المعلومات وحمايتها. يجب أن تضمن هذه التقنيات حماية المعلومات المرسلة ، مما يجعل الشبكة "موثوقة" ، على الرغم من أن الموثوقية في المرحلة الحالية تُفهم على أنها موثوقية ليس على المستوى المادي ، بل على المستوى المنطقي (المستوى المعلوماتي).
هناك أيضًا عدد من الأنشطة الإضافية التي تنفذ المبادئ التالية:
1. مراقبة العمليات. تتمثل طريقة مراقبة العمليات في إنشاء امتداد خاص للنظام يقوم باستمرار بإجراء أنواع معينة من عمليات الفحص. من الواضح أن نظامًا معينًا يصبح ضعيفًا من الخارج فقط عندما يوفر فرصة للوصول الخارجي إلى موارد المعلومات الخاصة به. عند إنشاء وسائل الوصول (عمليات الخادم) ، كقاعدة عامة ، هناك قدر كاف من المعلومات المسبقة المتعلقة بسلوك عمليات العميل. لسوء الحظ ، يتم تجاهل هذه المعلومات ببساطة في معظم الحالات. بعد مصادقة العملية الخارجية في النظام ، يتم اعتبارها مخولة طوال دورة حياتها للوصول إلى قدر معين من موارد المعلومات دون أي فحوصات إضافية.
على الرغم من أنه من غير الممكن الإشارة إلى جميع القواعد الخاصة بسلوك عملية خارجية في معظم الحالات ، فمن الواقعي تمامًا تحديدها من خلال النفي ، أو بعبارة أخرى ، للإشارة إلى ما لا تستطيع العملية الخارجية القيام به تحت أي ظروف. بناءً على هذه الفحوصات ، يمكن مراقبة الأحداث الخطيرة أو المشبوهة. على سبيل المثال ، يوضح الشكل أدناه عناصر المراقبة والأحداث المكتشفة: هجوم DOS ؛ خطأ في كتابة كلمة المرور من قبل المستخدم ؛ الزائد في قناة الاتصال.
2. ازدواجية تقنيات الإرسال. هناك خطر القرصنة أو المساومة على أي تقنية لنقل المعلومات ، سواء بسبب عيوبها الداخلية أو بسبب التأثيرات الخارجية. تكمن الحماية ضد مثل هذا الموقف في التطبيق المتوازي للعديد من تقنيات الإرسال المختلفة. من الواضح أن الازدواجية ستزيد بشكل كبير من حركة مرور الشبكة. ومع ذلك ، يمكن أن تكون هذه الطريقة فعالة عندما تكون تكلفة المخاطر من الخسائر المحتملة أعلى من النفقات العامة للازدواجية.
3. اللامركزية. في كثير من الحالات ، لا يرجع استخدام تقنيات تبادل المعلومات الموحدة إلى الرغبة في التوحيد القياسي ، ولكن بسبب عدم كفاية قوة الحوسبة للأنظمة التي تدعم إجراءات الاتصال. يمكن اعتبار ممارسة "المرايا" ، المنتشرة على الإنترنت ، نهجًا لا مركزيًا. يمكن أن يكون عمل نسخ متعددة متطابقة من الموارد مفيدًا في أنظمة الوقت الفعلي ، وحتى الفشل قصير المدى يمكن أن يكون له عواقب وخيمة.
3 . أمن المدفوعات الإلكترونية
حماية تشفير بنك المعلومات
الحاجة دائمًا إلى الحصول على المعلومات الضرورية في متناول اليد تجعل العديد من المديرين يفكرون في مشكلة تحسين أعمالهم باستخدام أنظمة الكمبيوتر. ولكن إذا تم نقل المحاسبة من النموذج الورقي إلى النموذج الإلكتروني منذ فترة طويلة ، فإن التسويات المتبادلة مع البنك لا تزال مؤتمتة بشكل غير كافٍ: الانتقال الهائل إلى تدفق المستندات الإلكترونية في المستقبل القريب.
اليوم ، لدى العديد من البنوك نوع من القنوات لمعاملات الدفع عن بعد. يمكنك إرسال "أمر دفع" مباشرة من المكتب باستخدام اتصال مودم أو خط اتصال مخصص. لقد أصبح إجراء العمليات المصرفية عبر الإنترنت حقيقة واقعة - لذلك يكفي أن يكون لديك جهاز كمبيوتر مع إمكانية الوصول إلى الشبكة العالمية ومفتاح التوقيع الرقمي الإلكتروني (EDS) المسجل لدى البنك.
تتيح الخدمات المصرفية عن بُعد زيادة كفاءة الأعمال التجارية الخاصة بأقل جهد ممكن من جانب أصحابها. وهذا يضمن: توفير الوقت (لا داعي للحضور شخصيًا إلى البنك ، ويمكن السداد في أي وقت) ؛ راحة العمل (يتم تنفيذ جميع العمليات من جهاز كمبيوتر شخصي في بيئة عمل مألوفة) ؛ سرعة عالية في معالجة المدفوعات (لا يقوم مشغل البنك بإعادة طباعة البيانات من أصل ورقي ، مما يجعل من الممكن التخلص من أخطاء الإدخال وتقليل وقت معالجة مستند الدفع) ؛ مراقبة حالة الوثيقة في عملية معالجتها ؛ الحصول على معلومات حول حركة الأموال على الحسابات.
ومع ذلك ، على الرغم من المزايا الواضحة ، فإن المدفوعات الإلكترونية في روسيا لم تحظى بشعبية كبيرة بعد ، لأن عملاء البنوك ليسوا متأكدين من أمنهم. ويرجع هذا في المقام الأول إلى الاعتقاد السائد بأن شبكات الكمبيوتر يمكن "اختراقها" بسهولة بواسطة متسلل. هذه الأسطورة متجذرة بقوة في العقل البشري ، والأخبار عن الهجمات على موقع إلكتروني آخر والتي يتم نشرها بانتظام في وسائل الإعلام تعزز هذا الرأي بشكل أكبر. لكن الزمن يتغير ، وستحل الاتصالات الإلكترونية عاجلاً أم آجلاً محل الوجود الشخصي للدافع الذي يريد إجراء تحويل مصرفي غير نقدي من حساب إلى آخر.
في رأيي ، يمكن ضمان أمن العمليات المصرفية الإلكترونية اليوم. يتم ضمان ذلك من خلال طرق التشفير الحديثة المستخدمة لحماية مستندات الدفع الإلكترونية. بادئ ذي بدء ، هذا هو EDS المطابق لـ GOST 34.10-94. منذ عام 1995 ، تم استخدامه بنجاح من قبل بنك روسيا. في البداية ، قدم نظام التسويات الإلكترونية بين الأقاليم في مناطق قليلة فقط. الآن يغطي جميع مناطق الاتحاد الروسي ومن المستحيل عمليا تخيل عمل بنك روسيا بدونه. إذن ، هل هناك أي سبب للشك في موثوقية EDS إذا كان استخدامه قد تم اختباره بمرور الوقت وكان بالفعل ، بطريقة أو بأخرى ، يتعلق بكل مواطن في بلدنا؟
التوقيع الرقمي الإلكتروني هو ضمان للأمن. وفقًا للاتفاقية القياسية بين البنك والعميل ، فإن وجود عدد كافٍ من الأشخاص المصرح لهم والمسجلين لدى EDS بموجب المستند الإلكتروني بمثابة أساس لإجراء العمليات المصرفية على حسابات العميل. ينص القانون الفيدرالي رقم 1-FZ بتاريخ 10.01.02 "بشأن التوقيعات الرقمية الإلكترونية" على أنه يجب إنشاء EDS والتحقق منه بواسطة برنامج معتمد من قبل FAPSI. شهادة EDS هي ضمان لأداء هذا البرنامج وظائف التشفير وفقًا لمعايير GOST ولا يرتكب إجراءات مدمرة على كمبيوتر المستخدم.
لوضع EDS على مستند إلكتروني ، يجب أن يكون لديك مفتاحه ، والذي يمكن تخزينه على بعض شركات نقل البيانات الرئيسية. حوامل المفاتيح الحديثة ("e-Token" ، "USB-drive" ، "Touch-Memory") تشبه سلاسل المفاتيح في الشكل ، ويمكن حملها في مجموعة من المفاتيح العادية. يمكن أيضًا استخدام الأقراص المرنة كناقل للمعلومات الأساسية.
يعمل كل مفتاح EDS كتناظرية للتوقيع بخط اليد للشخص المخول. إذا كانت "الدفعات" في ورقة المؤسسة موقعة عادةً من قبل المدير وكبير المحاسبين ، فمن الأفضل في النظام الإلكتروني الاحتفاظ بنفس الإجراء وتوفير مفاتيح EDS مختلفة للأشخاص المصرح لهم. ومع ذلك ، يمكن أيضًا استخدام EDS واحد - يجب أن تنعكس هذه الحقيقة في الاتفاقية بين البنك والعميل.
يتكون مفتاح EDS من جزأين - مغلق ومفتوح. الجزء العام (المفتاح العام) ، بعد أن يتم إنشاؤه من قبل المالك ، يتم تقديمه إلى سلطة التصديق ، والذي يلعب دوره عادة من قبل البنك. يتم توقيع المفتاح العام ومعلومات حول مالكه والغرض من المفتاح والمعلومات الأخرى بواسطة EDS لمركز الشهادات. وبالتالي ، يتم إنشاء شهادة EDS ، والتي يجب تسجيلها في نظام التسوية الإلكترونية للبنك.
يجب ألا يقوم مالك المفتاح بأي حال من الأحوال بنقل الجزء الخاص من مفتاح EDS (المفتاح السري) إلى شخص آخر. إذا تم نقل المفتاح الخاص حتى لفترة قصيرة إلى شخص آخر أو تُرك دون مراقبة في مكان ما ، فإن المفتاح يعتبر "مخترقًا" (أي أنه يشير إلى إمكانية النسخ أو الاستخدام غير القانوني للمفتاح). بمعنى آخر ، في هذه الحالة ، يحصل الشخص غير المالك للمفتاح على فرصة التوقيع على مستند إلكتروني غير مصرح به من قبل إدارة المؤسسة ، والذي سيقبله البنك للتنفيذ وسيكون على حق ، منذ التحقق من سوف تظهر EDS أصالتها. تقع المسؤولية الكاملة في هذه الحالة على صاحب المفتاح وحده. يجب أن تكون الإجراءات التي يتخذها حامل EDS في هذه الحالة مماثلة لتلك التي يتم اتخاذها في حالة فقد بطاقة بلاستيكية عادية: يجب على هذا الشخص إبلاغ البنك عن "حل وسط" (خسارة) مفتاح EDS. بعد ذلك ، سيقوم البنك بحظر شهادة EDS هذه في نظام الدفع الخاص به ولن يتمكن المهاجم من استخدام عملية الاستحواذ غير القانونية الخاصة به.
من الممكن أيضًا منع الاستخدام غير القانوني للمفتاح السري بمساعدة كلمة المرور ، والتي يتم فرضها على كل من المفتاح وبعض أنواع ناقلات المفاتيح. يساعد هذا في تقليل الضرر في حالة الفقد ، لأنه بدون كلمة مرور ، يصبح المفتاح غير صالح وسيكون لدى المالك وقت كافٍ لإبلاغ البنك عن "التسوية" في EDS الخاص به.
دعونا نفكر في كيفية استخدام العميل لخدمات الدفع الإلكتروني ، بشرط أن يكون البنك قد قام بتثبيت نظام للتنفيذ المتكامل للخدمات المصرفية الإلكترونية InterBank. إذا كان العميل رائد أعمال خاص أو يدير شركة تجارية صغيرة ولديه وصول إلى الإنترنت ، فسيكون كافياً بالنسبة له أن يختار نظام حماية التشفير (EDS والتشفير) الذي يريد استخدامه. يمكن للعميل تثبيت البرنامج المعتمد "CryptoPro CSP" أو استخدام نظام Microsoft Base CSP المدمج في Microsoft Windows.
إذا كان العميل شركة كبيرة ذات معدل دوران مالي كبير ، فيمكن التوصية بنظام فرعي آخر من هيكل InterBank - "عميل Windows". بمساعدته ، يحتفظ العميل بشكل مستقل بقاعدة بيانات للوثائق الإلكترونية ويمكنه إعداد أوامر الدفع على جهاز الكمبيوتر الخاص به دون استخدام جلسة اتصال مع البنك. عندما يتم إنشاء جميع المستندات اللازمة ، يتصل العميل بالبنك عن طريق الهاتف أو خط مخصص لتبادل البيانات.
نوع آخر من الخدمات التي يقدمها مجمع InterBank هو إبلاغ العميل بحالة حساباته المصرفية وأسعار الصرف وتحويل البيانات المرجعية الأخرى عبر الاتصال الصوتي أو الفاكس أو شاشة الهاتف المحمول.
من الطرق الملائمة لاستخدام التسويات الإلكترونية التوقيع على مستندات الدفع من قبل الموظفين المعتمدين في الشركة ، والذين يكونون على مسافة كبيرة من بعضهم البعض. على سبيل المثال ، قام كبير المحاسبين بإعداد وتوقيع مستند دفع إلكتروني. يمكن للمدير ، في الوقت الحالي في رحلة عمل في مدينة أخرى أو في بلد آخر ، عرض هذا المستند وتوقيعه وإرساله إلى البنك. يمكن تنفيذ كل هذه الإجراءات عن طريق النظام الفرعي "Internet-Client" ، والذي سيتم توصيل المحاسب ومدير المؤسسة به عبر الإنترنت. سيتم تنفيذ تشفير البيانات ومصادقة المستخدم بواسطة أحد البروتوكولات القياسية - SSL أو TLS.
لذلك ، فإن استخدام المدفوعات الإلكترونية في الأعمال التجارية يوفر مزايا كبيرة مقارنة بالخدمة التقليدية. بالنسبة للأمان ، يتم توفيره بواسطة معيار EDS (GOST 34.10-94) ، من ناحية ، ومسؤولية العميل عن تخزين مفتاح التوقيع ، من ناحية أخرى. يمكن للعميل دائمًا الحصول على توصيات بشأن استخدام وتخزين مفاتيح EDS في البنك ، وإذا اتبعها ، فإن موثوقية المدفوعات مضمونة.
4. سلامة الشخصالمدفوعات النقدية للأفراد
تتطلب معظم أنظمة الأمان ، من أجل تجنب فقدان البيانات الشخصية للأفراد ، تأكيد المستخدم على هويته. يمكن تحديد هوية المستخدم على أساس:
* يعرف بعض المعلومات (الرمز السري ، كلمة المرور) ؛
* لديه شيء معين (بطاقة ، مفتاح إلكتروني ، رمز) ؛
* لديه مجموعة من السمات الفردية (بصمات الأصابع ، شكل اليد ، نبرة الصوت ، رسم شبكية العين ، إلخ) ؛
* يعرف مكان أو كيفية توصيل المفتاح المتخصص.
تتطلب الطريقة الأولى كتابة تسلسل رموز معين على لوحة المفاتيح - رقم تعريف شخصي (PIN). عادة ما يكون هذا تسلسلًا مكونًا من 4 إلى 8 أرقام يجب على المستخدم إدخاله عند إجراء المعاملة.
تتضمن الطريقة الثانية تقديم المستخدم لبعض عناصر تحديد الهوية المحددة - الرموز المقروءة من جهاز إلكتروني أو بطاقة أو رمز مميز غير قابل للنسخ.
في الطريقة الثالثة ، يكون التمرير هو الخصائص الفردية والخصائص الفيزيائية لشخصية الشخص. أي منتج بيومتري يكون مصحوبًا بقاعدة بيانات ضخمة إلى حد ما تخزن الصور المقابلة أو البيانات الأخرى المستخدمة في التعرف.
تفترض الطريقة الرابعة مبدأ خاصًا لتشغيل أو تبديل المعدات ، مما يضمن تشغيلها (نادرًا ما يتم استخدام هذا النهج).
الأكثر انتشارًا في مجال البنوك هي وسائل تحديد الهوية الشخصية ، والتي ننسبها إلى المجموعة الثانية: كائن معين (بطاقة ، مفتاح إلكتروني ، رمز مميز). وبطبيعة الحال ، فإن استخدام مثل هذا المفتاح يتم بالتزامن مع وسائل وطرق التعريف ، والتي ننسبها إلى المجموعة الأولى: استخدام المعلومات (الرمز السري ، وكلمة المرور).
دعونا نلقي نظرة فاحصة على الهوية الشخصية في البنوك.
البطاقات البلاستيكية.
تم إصدار أكثر من مليار بطاقة في دول مختلفة حول العالم.... أشهرهم:
بطاقات ائتمان Visa (أكثر من 350 مليون بطاقة) و MasterCard (200 مليون بطاقة) ؛
يضمن الشيك الدولي Eurocheque و Posteheque ؛
بطاقات للسفر والترفيه أمريكان إكسبريس (60 مليون بطاقة) وداينرز كلوب.
البطاقات الممغنطة
البطاقات البلاستيكية ذات الشريط الممغنط هي الأكثر شهرة وتستخدم منذ فترة طويلة في الأعمال المصرفية كوسيلة لتحديد الهوية (تسمح العديد من الأنظمة باستخدام بطاقات الائتمان التقليدية). للقراءة ، من الضروري تمرير البطاقة (الشريط المغناطيسي) عبر فتحة القارئ (القارئ). عادةً ما يتم تصنيع أجهزة القراءة في شكل جهاز خارجي ويتم توصيلها عبر منفذ تسلسلي أو عالمي على جهاز الكمبيوتر. يتم أيضًا إنتاج القراء مع لوحة المفاتيح. ومع ذلك ، فإن هذه البطاقات لها مزايا وعيوب استخدامها.
* يمكن نسخ البطاقة الممغنطة بسهولة إلى المعدات المتاحة ؛
* التلوث ، التأثير الميكانيكي الطفيف على الطبقة المغناطيسية ، موقع البطاقة بالقرب من المصادر القوية للمجالات الكهرومغناطيسية سوف يتلف البطاقة.
مزايا:
* تكاليف إصدار وصيانة هذه البطاقات منخفضة.
* تطورت صناعة البطاقات البلاستيكية الممغنطة منذ عدة عقود وفي الوقت الحالي أكثر من 90٪ من البطاقات عبارة عن بطاقات بلاستيكية ؛
* استخدام البطاقات الممغنطة له ما يبرره عندما يكون هناك عدد كبير جدًا من المستخدمين وتغييرات متكررة للبطاقات (على سبيل المثال ، للوصول إلى غرفة في فندق).
بطاقات القرب
في الواقع ، هذا تطور لفكرة الرموز الإلكترونية. هذه بطاقة بدون تلامس (ولكن يمكن أن تكون أيضًا سلسلة مفاتيح أو سوارًا) تحتوي على شريحة برمز فريد أو جهاز إرسال لاسلكي. القارئ مزود بهوائي خاص ينبعث منه باستمرار طاقة كهرومغناطيسية. عندما تدخل البطاقة في هذا الحقل ، يتم تنشيط شريحة البطاقة ، وترسل البطاقة رمزها الفريد إلى القارئ. بالنسبة لمعظم القراء ، تتراوح مسافة الاستجابة المستقرة من بضعة مليمترات إلى 5-15 سم.
بطاقات ذكية
على عكس البطاقة الممغنطة ، تحتوي البطاقة الذكية على معالج دقيق ووسادات اتصال لتزويد الطاقة وتبادل المعلومات مع القارئ. تتمتع البطاقة الذكية بمستوى عالٍ جدًا من الأمان. لا تزال الآفاق الرئيسية لتطوير مثل هذه المفاتيح وآمال العديد من مطوري أنظمة الأمان مرتبطة معها.
كانت تقنية البطاقة الذكية موجودة وتتطور منذ حوالي عشرين عامًا ، لكنها لم تنتشر إلا في السنوات القليلة الماضية. من الواضح أن البطاقة الذكية ، نظرًا لسعة الذاكرة الكبيرة ووظائفها ، يمكن أن تعمل كمفتاح وكتمرير ، وفي الوقت نفسه يمكن أن تكون بطاقة مصرفية. في الحياة الواقعية ، نادرًا ما يتم تنفيذ مثل هذا المزيج من الوظائف.
للعمل بالبطاقة الذكية ، يجب أن يكون الكمبيوتر مزودًا بجهاز خاص: قارئ بطاقة داخلي أو خارجي. يمكن لقارئات البطاقات الخارجية الاتصال بمنافذ مختلفة على جهاز الكمبيوتر الخاص بك (منفذ PS / 2 التسلسلي أو المتوازي أو لوحة المفاتيح أو فتحة PCMCIA أو SCSI أو USB).
توفر العديد من البطاقات أنواعًا مختلفة (خوارزميات) من المصادقة. هناك ثلاثة أطراف مشتركة في عملية التعرف الإلكتروني: مستخدم البطاقة ، والبطاقة ، والجهاز الطرفي (قارئ البطاقة). المصادقة ضرورية حتى يتمكن المستخدم ، أو الجهاز الطرفي الذي تم إدخال البطاقة فيه ، أو التطبيق البرمجي الذي يتم توصيل معلمات البطاقة به ، من تنفيذ إجراءات معينة باستخدام البيانات الموجودة على البطاقة. يتم تعيين قواعد الوصول من قبل مطور التطبيق عند إنشاء هياكل البيانات على الخريطة.
الرموز الإلكترونية
الآن ، في الأنظمة المختلفة التي تتطلب تعريف المستخدم أو المالك ، تُستخدم الرموز الإلكترونية (أو ما يسمى بالأجهزة المميزة) على نطاق واسع كتصاريح. من الأمثلة المعروفة على هذا الرمز هو الحبة الإلكترونية (الشكل 8.4). "التابلت" مصنوع في علبة دائرية من الستانلس ستيل ويحتوي على شريحة برقم فريد مسجل فيه. يتم إجراء مصادقة المستخدم بعد لمس هذا "الجهاز اللوحي" بجهاز اتصال خاص ، وعادة ما يكون متصلاً بالمنفذ التسلسلي للكمبيوتر. وبالتالي ، يمكنك السماح بالوصول إلى المبنى ، ولكن يمكنك أيضًا السماح بالعمل على الكمبيوتر أو منع المستخدمين غير المصرح لهم من العمل على الكمبيوتر.
للراحة ، يمكن تثبيت "الجهاز اللوحي" على سلسلة مفاتيح أو ضغطه في غلاف بلاستيكي.
حاليًا ، تُستخدم هذه الأجهزة على نطاق واسع للتحكم في الأقفال الكهروميكانيكية (أبواب الغرف ، والبوابات ، وأبواب المدخل ، وما إلى ذلك). ومع ذلك ، فإن استخدامهم "للحاسوب" فعال أيضًا.
جميع مجموعات المفاتيح الثلاثة المذكورة هي سلبية بطبيعتها. إنهم لا يؤدون أي إجراءات نشطة ولا يشاركون في عملية المصادقة ، لكنهم يعيدون الرمز المخزن فقط. هذه هي منطقتهم الرئيسية.
الرموز هي إلى حد ما أكثر متانة من البطاقات الممغنطة.
استنتاج
وبالتالي ، فإن مشكلة حماية المعلومات المصرفية خطيرة للغاية بحيث يتعذر على البنك إهمالها. في الآونة الأخيرة ، لوحظ عدد كبير من حالات انتهاك مستوى السرية في البنوك المحلية. مثال على ذلك هو الوصول المجاني لقواعد البيانات المختلفة على الأقراص المدمجة حول الشركات التجارية والأفراد. من الناحية النظرية ، يوجد الإطار القانوني لضمان حماية المعلومات المصرفية في بلدنا ، لكن تطبيقه بعيد عن الكمال. حتى الآن لم تكن هناك حالات تم فيها معاقبة أحد البنوك بسبب إفشاء معلومات ، عندما تمت معاقبة أي شركة لمحاولتها الحصول على معلومات سرية.
تعد حماية المعلومات في البنك مهمة معقدة لا يمكن حلها إلا في إطار البرامج المصرفية. يبدأ التنفيذ الفعال للحماية باختيار وتكوين أنظمة التشغيل وأدوات نظام الشبكة التي تدعم عمل البرامج المصرفية. من بين الوسائل التأديبية لضمان الحماية ، يجب التمييز بين مجالين: من ناحية ، هو الحد الأدنى من الوعي الكافي لمستخدمي النظام حول ميزات بناء النظام ؛ من ناحية أخرى ، وجود وسائل متعددة المستويات لتحديد هوية المستخدم والتحكم في حقوقهم.
في مراحل مختلفة من تطورها ، كان لنظام ABS مكونات مختلفة للحماية. في الظروف الروسية ، يجب تصنيف معظم الأنظمة المصرفية من حيث مستوى الحماية على أنها أنظمة من المستويين الأول والثاني من تعقيد الحماية:
المستوى الأول - استخدام أدوات البرمجيات التي توفرها الأدوات القياسية لأنظمة التشغيل وبرامج الشبكة ؛
المستوى الثاني - استخدام برمجيات الأمان ، وترميز المعلومات ، وتشفير الوصول.
بتلخيص كل ما سبق ، توصلت إلى استنتاج مفاده أنه عند العمل في القطاع المصرفي ، يجب أن تتأكد من أن معلومات الشركات والمعلومات التجارية ستبقى خاصة. ومع ذلك ، يجب توخي الحذر ليس فقط لحماية الوثائق ومعلومات الإنتاج الأخرى ، ولكن أيضًا لحماية إعدادات الشبكة ومعلمات الشبكة على الجهاز.
يتم تعيين مهمة حماية المعلومات في البنك بشكل أكثر صرامة من المنظمات الأخرى. يتضمن حل مثل هذه المشكلة تخطيط تدابير تنظيمية ونظامية لضمان الحماية. في الوقت نفسه ، عند التخطيط للحماية ، يجب مراعاة التدبير بين مستوى الحماية المطلوب والمستوى الذي تبدأ فيه الحماية بالتدخل في العمل العادي للأفراد.
المرفق 1
قائمة بأفراد ASOIB النموذجي ودرجة المخاطرة المقابلة لكل منهم:
1. أكبر خطر:تحكم النظام ومسؤول الأمن.
2. ارتفاع الخطر:مشغل النظام ، مشغل إدخال البيانات وإعدادها ، مدير المعالجة ، مبرمج النظام.
3. متوسط المخاطر:مهندس نظام ، مدير برمجيات.
4. مخاطر محدودة:مبرمج تطبيق ، مهندس أو مشغل اتصالات ، مسؤول قاعدة بيانات ، مهندس معدات ، مشغل معدات طرفية ، أمين مكتبة وسائط مغناطيسية للنظام ، مستخدم مبرمج ، مستخدم كاتب.
5. خطر قليل:مهندس المعدات الطرفية ، أمين مكتبة الوسائط المغناطيسية للمستخدم ، مستخدم الشبكة.
أرز. 1 بطاقة ممغنطة
أرز. 2 بطاقة القرب
أرز. 4 رموز إلكترونية
الملحق 2
|
إحصائيات الخسارة في Visa و MasterCard |
||
|
الحصة في إجمالي الخسائر ،٪ |
||
|
احتيال البائع |
||
|
البطاقات المسروقة |
||
|
التزوير |
||
|
تغيير تضاريس الخريطة |
||
|
البطاقات المفقودة |
||
|
الاستخدام غير السليم |
||
|
احتيال الهاتف |
||
|
الاحتيال عبر البريد |
||
|
الاحتيال عبر البريد |
||
|
السرقة أثناء شحن الإنتاج |
||
|
التواطؤ مع حامل البطاقة |
||
تم النشر في Allbest.ru
أنواع التهديدات المتعمدة لأمن المعلومات. طرق ووسائل حماية المعلومات. طرق ووسائل أمن المعلومات. طرق التشفير لحماية المعلومات. وسائل معقدة للحماية.
الملخص ، تمت الإضافة في 01/17/2004
مشكلة أمن المعلومات. ميزات حماية المعلومات في شبكات الحاسوب. التهديدات والهجمات وقنوات تسريب المعلومات. تصنيف طرق ووسائل ضمان السلامة. هندسة الشبكات وحمايتها. طرق تأمين الشبكات.
أطروحة ، تمت إضافة 06/16/2012
طرق ووسائل حماية بيانات المعلومات. الحماية من الوصول غير المصرح به إلى المعلومات. مميزات حماية أنظمة الحاسب بطرق التشفير. معايير تقييم أمن تكنولوجيا المعلومات الحاسوبية في الدول الأوروبية.
الاختبار ، تمت إضافة 08/06/2010
مبادئ الأمان للمدفوعات الإلكترونية والشخصية للأفراد في البنوك. تنفيذ تقنيات نقل المعلومات والحماية ؛ نهج منظم لتطوير بيئة البرمجيات والأجهزة: تشفير المعلومات والوصول ؛ التشفير والتشفير.
تمت إضافة الملخص بتاريخ 18/05/2013
أمن المعلومات لأنظمة الاتصالات. مشاكل أمن المعلومات. تكنولوجيا التحليل الأمني ، كشف التعرض للدخيل ، حماية المعلومات من العبث ، الحماية من الفيروسات. تشكيل بنك المعلومات.
الملخص ، تمت الإضافة في 02/27/2009
أهم جوانب أمن المعلومات. الوسائل التقنية لمعالجة المعلومات ، حاملات الوثائق الخاصة بها. الطرق النموذجية للحصول غير المصرح به على المعلومات. مفهوم التوقيع الالكتروني. حماية المعلومات من التدمير.
تمت إضافة الملخص بتاريخ 07/14/2015
طرق ووسائل حماية المعلومات من الوصول غير المصرح به. ميزات حماية المعلومات في شبكات الحاسوب. حماية التشفير والتوقيع الرقمي الإلكتروني. طرق حماية المعلومات من فيروسات الكمبيوتر وهجمات القراصنة.
الملخص ، تمت الإضافة في 10/23/2011
أمن المعلومات ، مكونات نظام الحماية. عوامل زعزعة الاستقرار. تصنيف التهديدات لأمن المعلومات حسب مصدر الحدوث ، حسب طبيعة الأهداف. طرق تنفيذها. مستويات حماية المعلومات. مراحل إنشاء أنظمة الحماية.
تمت إضافة العرض بتاريخ 12/12/2015 م
تطوير تقنيات المعلومات الجديدة والحوسبة العامة. أمن المعلومات. تصنيف التهديدات المتعمدة لأمن المعلومات. طرق ووسائل حماية المعلومات. طرق التشفير لحماية المعلومات.
ورقة مصطلح ، تمت الإضافة في 03/17/2004
المفاهيم الأساسية لأمن المعلومات وأمن المعلومات. التصنيف والمحتوى والمصادر والمتطلبات المسبقة لظهور التهديدات المحتملة للمعلومات. الاتجاهات الرئيسية للحماية من أسلحة المعلومات (التأثير) ، خدمات أمن الشبكات.
ما هي المشاكل الرئيسية في مجال الأمن التي تسلط الضوء عليها في الوقت الحالي ، سواء من حيث أمن المعلومات أو من حيث أمن الأعمال؟
أندري بوغوسلوفسكيك ، مدير إدارة تكنولوجيا المعلومات في Rosbank:استهداف مجتمع المتسللين لإنشاء تعليمات برمجية ضارة تتكيف مع تقنيات الأنظمة المصرفية البعيدة. سرقة كلمات المرور والمعلومات الأساسية من أجهزة الكمبيوتر العميلة المصابة.
كونستانتين ميدينتسيف ، نائب الرئيس لتقنيات المعلومات في بنك موسكو للإنشاء والتعمير: المهمة الرئيسية لأمن المعلومات هي ضمان وتحسين حماية البنية التحتية للمعلومات. يتزايد استخدام تكنولوجيا المعلومات لأغراض إجرامية. أصبح الوصول إلى التقنيات أكثر سهولة ، كما أن تكلفة الهجمات على أنظمة المعلومات آخذة في التناقص ، بينما أصبحت تكلفة حماية موارد المعلومات الإلكترونية أكثر تكلفة. بمساعدة أنظمة المعلومات ، يمكن لمؤسسات الائتمان تقليل تكاليف خدمة العملاء بشكل كبير ، مما يؤدي بدوره إلى زيادة الأرباح. ومع ذلك ، فإن آليات تلبية المتطلبات التي وضعها المنظمون تؤدي إلى زيادة كبيرة في تكلفة الخدمات المصرفية. كلما ارتفع مستوى حماية البيانات ، زادت صعوبة الحصول عليها ، بالطبع ، لأن بنية الأنظمة المؤتمتة المقابلة تصبح أكثر تعقيدًا. في هذا الصدد ، من المهم إيجاد نهج متكامل أو خوارزمية إجراءات ، سيسمح تنفيذها بتلبية المتطلبات القانونية ، ولكن في نفس الوقت لن يؤثر سلبًا على أنشطة البنك ولن يؤدي إلى زيادة تكلفة المنتجات والخدمات للمستهلك.
فلاديلين نوفوسيليتسكي ، رئيس قسم أمن المعلومات في بنك B&N:المشكلة الرئيسية هي التمويل المحدود لأمن المعلومات. إنه يحدد إلى حد كبير جميع المشاكل الأخرى.
المشكلة الثانية هي اختيار درجة الحرية للأعمال التجارية التي ، من ناحية ، لن تسمح للمهاجمين بتدمير العمل ، من ناحية أخرى ، لن يخنق العمل. من الواضح أنه لن تكون هناك حوادث تتعلق بأمن المعلومات إذا تم حظر كل شيء. ولكن بعد ذلك لن تتطور الأعمال أيضًا. لذلك ، من الضروري إيجاد توازن بين حرية التصرف اللازمة للعمل ونظام القيود اللازمة لضمان أمن المعلومات.
المشكلة الثالثة هي مشكلة اختيار نظام أمن المعلومات بالوظائف المطلوبة التي ليس لها تأثير سلبي ملحوظ على الأدوات المحمية (مشكلة الوظيفة والتوافق). يوجد الكثير من SZI في السوق ، لكن ... كان سلسًا على الورق.
المشكلة الرابعة قانونية - ترخيص الأنشطة باستخدام أنظمة المعلومات المشفرة ، وإصدار الشهادات لأنظمة أمن المعلومات ، والتصديق على كائنات الأتمتة. معظم أنظمة أمن المعلومات المعتمدة من قبل FSTEC في روسيا (FSB of Russia) قديمة. لذلك ، عند اختيار نظام أمن المعلومات ، تظهر معضلة: تلبية متطلبات القانون الاتحادي من خلال شراء نظام أمن معلومات معتمد ولكنه قديم. أو يمكنك شراء أحدث نظام لأمن معلومات التطوير ، وبالتالي يكون أكثر كفاءة ، ولكن غير معتمد. إذا تم تحديد إصدار غير معتمد من نظام أمن المعلومات وتم شراؤه بالفعل ، فإن شهادته اللاحقة تتحول ببساطة إلى حوض تغذية للمنظمات المشاركة في ذلك. في سياق الحصول على الشهادة ، لن يتحسن نظام أمن المعلومات ، لكنه سيصبح أكثر تكلفة. وإذا تبين أن نتيجة الشهادة سلبية ، فما العمل بهذا الحجم؟ العودة إلى البائع؟
Oleg Podkopaev ، مدير تكنولوجيا المعلومات في بنك Rusfinance:كما هو الحال دائمًا ، فإن التهديد الرئيسي لأمن المعلومات للمؤسسة والأعمال هو المطلعين. وعلى الرغم من أن عواقب الإجراءات من الداخل عادة ما تكون أقل وضوحًا في شكل صريح ، وفي بعض الأحيان غير مرئية ببساطة ، فإن هذا بالتحديد هو الخطر الرئيسي. يؤدي التنازل عن قاعدة العملاء ، على سبيل المثال ، بالإضافة إلى المخاطر القانونية المباشرة ، إلى انخفاض الأعمال وفقدان الحصة السوقية ، ولا تظهر العواقب إلا بعد فوات الأوان للقيام بشيء ما. وبناءً عليه ، ينبغي توجيه الجهود الرئيسية نحو التدابير الوقائية لمنع مثل هذا التسرب أو تحديده في الوقت المناسب.
ألكسندر توركين ، رئيس مركز التحقق ودعم المعلومات في بنك B&N:مع اعتماد كائنات المعلوماتية ، تكون الصورة كما يلي: مع أي تغيير ، يجب إعادة اعتماد الكائن. لكن في البنك ، التغييرات تحدث بشكل مستمر! كل من معدات وبرامج الكمبيوتر وتكنولوجيا العمل آخذة في التغير. وبالتالي ، تتحول الشهادة / إعادة الاعتماد رسميًا إلى عملية مستمرة لا نهاية لها بتكاليف لا حصر لها.
كما تعلم ، لاستخدام أجهزة حماية البيانات المشفرة التي تندرج تحت مرسوم حكومة RF الصادر في 29 ديسمبر 2007 رقم 957 ، والذي وافق على اللوائح الخاصة بترخيص أنواع معينة من الأنشطة المتعلقة بوسائل التشفير (التشفير) ، تراخيص مطلوب FSB من روسيا. ولكن بعد ذلك ، هناك حاجة إليها ليس فقط للبنك ، ولكن أيضًا لجميع عملاء نظام Client-Bank. وينطبق الشيء نفسه على جميع عملاء أنظمة التبادل الإلكتروني مع خدمة الضرائب الفيدرالية ، وصندوق المعاشات التقاعدية ، وما إلى ذلك. وتبين أن تراخيص FSB لروسيا مطلوبة لمعظم المنظمات في البلاد.
إيفجيني شيفتسوف ، نائب رئيس CJSC JSCB NOVIKOMBANK:تواجه المؤسسات المالية اليوم بشكل متزايد مجموعة واسعة من التهديدات الحالية ، مثل الاحتيال على الكمبيوتر ، وفيروسات الكمبيوتر ، واختراق أنظمة الكمبيوتر ، ورفض الخدمة ، وما إلى ذلك. التهديدات. نظرًا لأن أنظمة المعلومات الموجودة في البنك لم يتم تصميمها في البداية بالمستوى المطلوب من الأمان ، فإن احتمالات ضمان أمن المعلومات محدودة في معظم الحالات.
إن أهم مشكلة تواجه الإدارة وخدمة الأمن هي مشكلة التهديدات الداخلية لأمن المعلومات ، أو بعبارة أخرى مشكلة حماية المعلومات من المطلعين.
لذلك ، اليوم ، سواء في جانب أمن المعلومات أو من حيث ضمان أمن الأعمال ، يعد نظام أمن المعلومات المتكامل أمرًا حيويًا ، والذي لا يتضمن فقط الموارد التقنية ، ولكن أيضًا الموارد التنظيمية ، والتي يمكن أن يكلف إنشاءها البنك أرخص بكثير من التخلص عواقب تهديدات أمن المعلومات.
هل غيرت الأزمة طبيعة العلاقة بين قسم تقنية المعلومات بالبنك وجهاز الأمن؟ هل كان هناك إعادة توزيع للمسؤوليات والوظائف؟ كيف؟
أندري بوغوسلوفسكيك:لم تغير الأزمة العلاقة بين تكنولوجيا المعلومات والأمن.
كونستانتين ميدينتسيف:كان للأزمة المالية والاقتصادية تأثير كبير على طبيعة ممارسة الأعمال التجارية ، والتي أدت في عدد من الحالات إلى تغييرات ملحوظة في هيكل المؤسسات الائتمانية ، مرتبطة إما بتخفيض المهام أو إعادة توزيعها بين الأقسام. فيما يتعلق بأمن المعلومات ، مع الأقسام الرئيسية ذات الصلة ، وهي أقسام تقنية المعلومات. تظهر الملاحظات أنه في عدد من الحالات يتم نقل المهام المتعلقة بتشغيل أنظمة أمن المعلومات إلى أقسام تكنولوجيا المعلومات. ومع ذلك ، فإن التأثير السلبي لإعادة التوزيع هذا على سير العمل ككل لا يمكن أن يظهر بشكل أساسي إلا في حالة عدم وجود تعديلات سريعة على إجراءات التفاعل بين الأقسام المتجاورة. في حالة الوصف المختص لإجراءات التفاعل ، لا يكون لإعادة التوزيع تأثير سلبي.
فلاديلين نوفوسيليتسكي:فيما يتعلق بدخول قانون "البيانات الشخصية" حيز التنفيذ ، يجب أن تتغير طبيعة العلاقة في اتجاه أمن المعلومات. لكنه لم يتغير. من الممكن أن تكون المساهمة الرئيسية في ذلك هي الأزمة.
أوليج بودكوبايف:وبالطبع لم تؤثر الأزمة في حد ذاتها على مثل هذه العلاقات ، لأن جوهرها كان مختلفًا. ولكن من وجهة نظر التفاعل بين أقسام البنك ، أصبحت الإجراءات أكثر تماسكًا. أكثر تأثراً بمتطلبات المنظمين ، والتي يتطلب تنفيذها تفاعلاً أوضح بين تكنولوجيا المعلومات وخدمات الأمن. في الوقت نفسه ، لا يتغير توزيع الوظائف: أقسام أمن المعلومات هي هيئات تنظيمية وإشرافية داخل البنك ، وقد تم تصميم تكنولوجيا المعلومات لتنفيذ وضمان أمن المعلومات.
يفجيني شيفتسوف:طبيعة التفاعل لم تتغير. ظلت مسؤوليات ووظائف الأقسام كما هي ، وفقًا للوثائق التنظيمية للبنك.
كيف تقيم دور الجهة الرقابية في مجال أمن المعلومات المصرفية؟ ما مدى فائدة الخطوات التي يتخذها البنك المركزي للاتحاد الروسي في المجال التشريعي على وجه الخصوص؟
أندري بوغوسلوفسكيك:يطور بنك روسيا معايير أمن المعلومات ، وهي ذات طبيعة توصية (فهي ليست منطقة تشريعية). التقييم ذو شقين. من ناحية أخرى ، تعد معايير أمن المعلومات للبنك المركزي للاتحاد الروسي مفيدة ، لأنها تستند إلى معايير دولية حديثة لأمن المعلومات. من ناحية أخرى ، هناك الكثير من الجدل فيها ، لأنها تستند أيضًا إلى أساليب وتعليمات قديمة من اللجنة الفنية الحكومية (FSTEC).
كونستانتين ميدينتسيف:لا يمكن أن تمر جهود البنك المركزي مرور الكرام. كان إصدار عدد من الوثائق التنظيمية معلما هاما في تشكيل القاعدة التنظيمية والمنهجية للبنك المركزي في مجال أمن المعلومات. مثل "منهجية لتقييم الامتثال لمتطلبات أمن المعلومات الخاصة بـ STO BR IBSS-1.0-2008" و "منهجية تقييم مخاطر خرق أمن المعلومات".
أوليج بودكوبايف:أعتقد أن البنك المركزي للاتحاد الروسي يقوم بعمل صحيح تمامًا في تعليم البنوك التفكير في التنظيم المحتمل في مجال أمن المعلومات. علاوة على ذلك ، يتم ذلك بذكاء شديد ، من خلال إصدار التوصيات وطرق التقييم الذاتي أولاً ، وإجراء الطيارين على عمليات تدقيق أمن المعلومات ، وبعد ذلك فقط - وهذه مسألة وقت - من خلال إدخال متطلبات إلزامية.
الكسندر توركين:لدينا ثلاث جهات تنظيمية في مجال أمن المعلومات: البنك المركزي للاتحاد الروسي ، و FSTEC لروسيا ، و FSB لروسيا. إن خطوات البنك المركزي في المجال التشريعي تُتخذ لصالح البنوك ، لذا فهي بالتأكيد مفيدة للبنوك ، لكن ما مدى فعاليتها - سيخبرنا الوقت. حتى الآن ، يبدو أنه سيكون هناك بعض التأثير ، على الرغم من أنه ربما يكون أقل مما نود. حصلنا على تأجيل لمدة عام ، وأزال FSTEC من روسيا ختم اللوح من أربعة من مستنداته - إنه جيد بالفعل. في الوقت نفسه ، أود أن أؤكد أن دور بنك روسيا في هذا الأمر إيجابي بلا شك. بدعوة من Andrey Petrovich Kurilo ، انضممنا إلى مجموعة عمل ARB حول القانون رقم 152-FZ. إن الاقتراحات والتعليقات حول تحسين التشريعات في مجال البيانات الشخصية ، والتي ولدت خلال اجتماعات مجموعة العمل ، على ما أعتقد ، قد ساهمت بشكل كبير في البنك الخنزير المشترك.
يفجيني شيفتسوف:الوثيقة الرئيسية التي توجه خدمة أمن معلومات البنك في أنشطتها هي معيار بنك روسيا: "ضمان أمن المعلومات للمؤسسات في النظام المصرفي للاتحاد الروسي. أحكام عامة ”(STO BR IBBS-1.0-2008). نتوقع أن تصبح النسخة الجديدة من الوثيقة هي المعيار الصناعي للمؤسسات الائتمانية والمالية في الاتحاد الروسي.
الدخول الكامل لمتطلبات القانون رقم 152-FZ حيز التنفيذ. إلى أي مدى البنوك جاهزة لهذا اليوم؟ ما فائدة فترة السماح البالغة سنة واحدة التي تم تحقيقها؟
أندري بوغوسلوفسكيك:البنوك ليست جاهزة. فترة السماح لمدة عام واحد لا تفعل سوى القليل. حماية البيانات الشخصية أقوى من الأسرار المصرفية والتجارية هي هراء.
كونستانتين ميدينتسيف:على الرغم من اعتماد القانون الفيدرالي "بشأن البيانات الشخصية" في عام 2006 ، فقد تم نشر الوثائق التنظيمية والمنهجية التي تحكم عمليات بناء أنظمة حماية البيانات الشخصية في وقت لاحق. بالنظر إلى التكاليف المالية الباهظة لتنفيذ أنظمة الأمان ، فإن مشغلي معالجة البيانات الشخصية لديهم وقت قليل جدًا لتنفيذها. في هذا الصدد ، كان التأخير لمدة عام في متناول اليد.
أوليج بودكوبايف:بطبيعة الحال ، لا أحد ، بما في ذلك البنوك ، مستعد تمامًا لتطبيق القانون رقم 152-FZ. علاوة على ذلك ، فإن المنظمين ليسوا مستعدين ، الأمر الذي حدد بشكل عام إمكانية تأجيل المواعيد. علاوة على ذلك ، هناك حاجة إلى تأخير لمدة عام هنا ليس من قبل المشغلين بقدر ما يحتاجه المشرعون من أجل إجراء التعديلات اللازمة التي تمت صياغتها في عملية محاولات التطبيق العملي لمتطلبات القانون واللوائح ذات الصلة. أعتقد أن هذا سيتم خلال عام 2010. وسيصبح من الواضح أيضًا ماذا وكيف نفعل ، وستصبح المتطلبات أكثر اتساقًا مع الواقع ، وأخيراً ، سيكتسب المستشارون خبرة في تنفيذ المشاريع "التجريبية".
الكسندر توركين:تتمثل إحدى المشكلات هنا في تفسير هذا القانون الاتحادي واللوائح الداخلية. إذا تعاملنا معها بشكل رسمي وصارم ، فلن تكون البنوك جاهزة ، ولن تغير سنة التأجيل الوضع جذريًا. إذا تم تعديل عدد من المتطلبات في اتجاه إضعافها ، فستزداد درجة الاستعداد.
يفجيني شيفتسوف:توفر فترة السماح لمدة عام واحد فرصة لتوفير المال مع تلبية هذه المتطلبات.
فيما يتعلق بتطوير الخدمات المصرفية عن بعد وخطط التطوير النشط للبنوك في هذا الاتجاه ، ما مدى خطورة مشكلة هجمات DDOS على مواقع البنوك والتصيد والتهديدات الأخرى لقنوات RBS؟
أندري بوغوسلوفسكيك:يعد تهديد DDoS خطيرًا ، ولكنه ليس في حد ذاته ، ولكن كوسيلة لإخفاء المعاملات الاحتيالية باستخدام تفاصيل العميل المسروقة.
كونستانتين ميدينتسيف:كما سبق ذكره ، فإن تطوير تكنولوجيا المعلومات له تأثير على المجال الإجرامي. ومع ذلك ، عندما يتم تصميم الأنظمة المصرفية عن بعد بشكل صحيح ، فإنها يمكن أن تصمد بثقة لأنواع معينة من التهديدات. تتيح أدوات مراقبة نشاط الشبكة الموجودة حاليًا تحديد مصدر هجوم DDOS بسرعة كبيرة ، وفي نفس الوقت ، تمنع إلحاق الضرر بالوسائل التقنية للنظام المصرفي عن بُعد نفسه. ومع ذلك ، تم تجنب المشاكل المرتبطة بالاستخدام غير المصرح به للمعلومات الأساسية. من الممكن استبعاد هذه الظاهرة فقط من خلال الجهود المشتركة من جانب المؤسسات الائتمانية - من خلال إدخال آليات أكثر تقدمًا لتنفيذ إجراءات التشفير ، ومن جانب العملاء أنفسهم - من خلال التقيد الصارم بتوصيات أمن المعلومات.
الكسندر توركين:المشكلة هي واحدة من أخطر المشاكل. جمعت بعض البنوك الكثير من المعلومات حول مصادر مثل هذه التهديدات. من المحتمل أن يؤدي توطيدها إلى زيادة معدل الإفصاح في هذا المجال بشكل كبير. لكن وكالة إنفاذ القانون الموحدة المهتمة بمثل هذه المعلومات غير مرئية. وهذا على الرغم من حقيقة أن مبدأ أمن المعلومات في الاتحاد الروسي يعتبر هذا التهديد خطيرًا على اقتصاد البلاد.
يفجيني شيفتسوف:أعتقد أن هذه المشكلة خطيرة. يحتاج البنك إلى أدوات لمنع مثل هذه الهجمات في المرحلة الأولى من عملها. وليس فقط منع ، بل حماية.
ما هي المشاكل / التهديدات الرئيسية لأنشطتك من وجهة نظر أمن المعلومات التي تراها للمستقبل القريب - 2010؟
أندري بوغوسلوفسكيك:الامتثال لمتطلبات التوصيات المنهجية لـ FSB و FSTEC بشأن حماية البيانات الشخصية. تطوير اتجاه الاحتيال باستخدام قنوات RBS.
كونستانتين ميدينتسيف:التقدم التكنولوجي يتقدم بثبات. كما أشرنا سابقاً ، فإن اختراق تكنولوجيا المعلومات في المجال الإجرامي يحدث بوتيرة متسارعة. في هذا الصدد ، يبدو أن عدد التهديدات لأمن المعلومات لأنشطة مؤسسات الائتمان يمكن أن يزداد فقط. ومع ذلك ، فقط الوقت يمكن أن يعطي تقييماً أكثر تفصيلاً لطبيعتها ونتائجها.
فلاديلين نوفوسيليتسكي:تكمن المشكلة الرئيسية في جعل البنك يمتثل لقانون "البيانات الشخصية" ، والتهديد الرئيسي هو سوء فهم أو سوء فهم هذه المشكلة من جانب جميع الأشخاص الذين يعتمد حلها عليهم.
يفجيني شيفتسوف:كجزء من إنشاء نظام حماية البيانات الشخصية ، ضع في اعتبارك مسألة تنظيم نظام أمان متكامل لموارد معلومات البنك.
تقدير:
لطالما ارتبط النشاط المصرفي بمعالجة وتخزين كمية كبيرة من البيانات السرية. بادئ ذي بدء ، هذه بيانات شخصية عن العملاء ودائعهم وجميع العمليات التي يتم إجراؤها.
تتعرض جميع المعلومات التجارية المخزنة والمعالجة في مؤسسات الائتمان لمجموعة متنوعة من المخاطر المرتبطة بالفيروسات ، وتعطل الأجهزة ، وفشل نظام التشغيل ، وما إلى ذلك. لكن هذه المشاكل ليست قادرة على إحداث أي ضرر جسيم. النسخ الاحتياطي اليومي للبيانات ، والذي بدونه لا يمكن تصور تشغيل نظام المعلومات لأي مؤسسة ، يقلل من مخاطر فقدان المعلومات غير القابل للاسترداد إلى الحد الأدنى. بالإضافة إلى ذلك ، فإن طرق الحماية من هذه التهديدات مطورة ومعروفة على نطاق واسع. لذلك ، تظهر المخاطر المرتبطة بالوصول غير المصرح به إلى المعلومات السرية (NSD) في المقدمة.
الوصول غير المصرح به هو حقيقة واقعة
اليوم ، هناك ثلاث طرق شائعة لسرقة المعلومات السرية. أولاً ، الوصول المادي إلى مواقع التخزين والمعالجة. هناك العديد من الخيارات هنا. على سبيل المثال ، يمكن للمتطفلين اقتحام مكتب بنك في الليل وسرقة محركات الأقراص الثابتة بجميع قواعد البيانات. حتى الغارة المسلحة ممكنة ، والغرض منها ليس المال ، ولكن المعلومات. لا يتم استبعاد الموقف عندما يمكن لموظف البنك نفسه إخراج ناقل المعلومات من الإقليم.
ثانيًا ، استخدام النسخ الاحتياطية. تمتلك معظم البنوك أنظمة نسخ احتياطي قائمة على أشرطة للبيانات الهامة. يقومون بتسجيل النسخ التي يقومون بإنشائها على أشرطة مغناطيسية ، والتي يتم تخزينها بعد ذلك في مكان منفصل. الوصول إليها أكثر استرخاء. أثناء النقل والتخزين ، يمكن لعدد كبير نسبيًا من الأشخاص نسخها. لا يمكن التقليل من المخاطر المرتبطة بالنسخ الاحتياطي للبيانات الحساسة. على سبيل المثال ، فإن معظم الخبراء على يقين من أن قواعد بيانات النشر التابعة للبنك المركزي للاتحاد الروسي التي ظهرت للبيع في عام 2005 قد سُرقت على وجه التحديد بفضل النسخ المأخوذة من الأشرطة الممغنطة. هناك العديد من هذه الحوادث المعروفة في الممارسة العالمية. على وجه الخصوص ، في سبتمبر من العام الماضي ، ألقى موظفو مزود بطاقات الائتمان Chase Card Services ، وهو قسم من JPMorgan Chase & Co. ، عن طريق الخطأ خمسة أشرطة تحتوي على نسخ احتياطية تحتوي على معلومات حول 2.6 مليون من أصحاب حسابات الائتمان في Circuit City.
ثالثًا ، الطريقة الأكثر احتمالًا لتسريب المعلومات السرية هي الوصول غير المصرح به من قبل موظفي البنك. عند استخدام أدوات نظام التشغيل القياسية فقط لفصل الحقوق ، غالبًا ما تتاح للمستخدمين الفرصة بشكل غير مباشر (باستخدام برامج معينة) لنسخ قواعد البيانات بالكامل التي يعملون بها ونقلها خارج الشركة. في بعض الأحيان يقوم الموظفون بذلك دون نية خبيثة ، فقط للعمل مع المعلومات في المنزل. ومع ذلك ، فإن مثل هذه الإجراءات هي أخطر انتهاك للسياسة الأمنية ويمكن (وتصبح!) سبب الكشف عن البيانات السرية.
بالإضافة إلى ذلك ، يوجد في أي بنك مجموعة من الأشخاص يتمتعون بامتيازات عالية على الشبكة المحلية. نحن نتحدث عن مسؤولي النظام. من ناحية ، يحتاجون إليها لأداء واجباتهم الرسمية. ولكن ، من ناحية أخرى ، لديهم الفرصة للوصول إلى أي معلومات و "تغطية مساراتهم".
وبالتالي ، يجب أن يتكون نظام حماية المعلومات المصرفية من الوصول غير المصرح به من ثلاثة أنظمة فرعية على الأقل ، يوفر كل منها الحماية ضد نوع التهديد الخاص به. هذا نظام فرعي للحماية من الوصول المادي إلى البيانات ، وهو نظام فرعي لضمان أمان النسخ الاحتياطية ونظام فرعي للحماية من المطلعين. وينصح بعدم إهمال أي منها ، لأن كل تهديد يمكن أن يتسبب في إفشاء بيانات سرية.
لا يكتب القانون للبنوك؟
حاليًا ، يتم تنظيم أنشطة البنوك بموجب القانون الفيدرالي "بشأن البنوك والأنشطة المصرفية". يقدم ، من بين أمور أخرى ، مفهوم "السرية المصرفية". وفقًا لذلك ، فإن أي مؤسسة ائتمانية ملزمة بضمان سرية جميع البيانات الخاصة بإيداعات العملاء. للكشف عنها ، فهي مسؤولة ، بما في ذلك التعويض عن الضرر الناجم عن تسرب المعلومات. في الوقت نفسه ، لا توجد متطلبات لأمن أنظمة المعلومات المصرفية. وهذا يعني أن البنوك تتخذ جميع القرارات بشأن حماية البيانات التجارية بشكل مستقل ، بناءً على خبرة المتخصصين فيها أو شركات الطرف الثالث (على سبيل المثال ، أولئك الذين يقومون بإجراء تدقيق لأمن المعلومات). التوصية الوحيدة هي معيار البنك المركزي للاتحاد الروسي "ضمان أمن المعلومات لمنظمات النظام المصرفي للاتحاد الروسي. الأحكام العامة ". ظهر لأول مرة في عام 2004 ، وفي عام 2006 تم اعتماد نسخة جديدة. عند إنشاء هذه الوثيقة الإدارية ووضع اللمسات الأخيرة عليها ، تم استخدام المعايير الروسية والدولية الحالية في مجال أمن المعلومات.
يمكن للبنك المركزي للاتحاد الروسي أن يوصي بها للبنوك الأخرى فقط ، لكن لا يمكنه الإصرار على التنفيذ الإلزامي. بالإضافة إلى ذلك ، هناك القليل من المتطلبات الواضحة في المواصفة القياسية التي تحدد اختيار منتجات معينة. إنه أمر مهم بالطبع ، لكن ليس له أهمية عملية جادة في الوقت الحالي. على سبيل المثال ، فيما يتعلق بالمنتجات المعتمدة ، تقول: "... يمكن استخدام الوسائل المعتمدة أو المعتمدة لحماية المعلومات من الوصول غير المصرح به." لا توجد قائمة مقابلة.
المدرجة في المعيار والمتطلبات لوسائل التشفير لحماية المعلومات في البنوك. وهنا يوجد بالفعل تعريف واضح إلى حد ما: "CIPF ... يجب أن يتم تنفيذه على أساس الخوارزميات التي تفي بالمعايير الوطنية للاتحاد الروسي ، وشروط العقد مع الطرف المقابل و (أو) معايير المنظمة." يمكنك تأكيد امتثال وحدة التشفير مع GOST 28147-89 من خلال الشهادة. لذلك ، عند استخدام أنظمة التشفير في أحد البنوك ، يُنصح باستخدام موفري تشفير البرامج أو الأجهزة المعتمدين من قبل FSB في الاتحاد الروسي ، أي الوحدات الخارجية التي تتصل بالبرنامج وتنفذ عملية التشفير نفسها.
في يوليو من العام الماضي ، تم اعتماد القانون الفيدرالي "بشأن البيانات الشخصية" للاتحاد الروسي ، والذي دخل حيز التنفيذ في 1 يناير 2007. ارتبط معه بعض الخبراء بظهور متطلبات أكثر تحديدًا لأنظمة الأمن المصرفي ، لأن البنوك هي مؤسسات تعالج البيانات الشخصية. ومع ذلك ، فإن القانون نفسه ، وهو بلا شك مهم جدًا بشكل عام ، لا ينطبق حاليًا في الممارسة العملية. تكمن المشكلة في عدم وجود معايير لحماية البيانات الخاصة والسلطات التي يمكن أن تتحكم في تنفيذها. أي ، اتضح أن البنوك في الوقت الحاضر لها الحرية في اختيار أنظمة لحماية المعلومات التجارية.
الحماية من الوصول المادي
عادة ما تولي البنوك الكثير من الاهتمام للأمن المادي للمكاتب التشغيلية ومكاتب التخزين وما إلى ذلك. كل هذا يقلل من مخاطر الوصول غير المصرح به إلى المعلومات التجارية من خلال الوصول المادي. ومع ذلك ، فإن مكاتب البنوك والغرف الفنية التي توجد بها الخوادم لا تختلف عادة في درجة الحماية عن مكاتب الشركات الأخرى. لذلك ، لتقليل المخاطر الموصوفة ، من الضروري استخدام نظام حماية مشفر.
يوجد عدد كبير من أدوات تشفير البيانات في السوق اليوم. ومع ذلك ، فإن خصائص معالجتها في البنوك تفرض متطلبات إضافية على البرامج المقابلة. أولاً ، يجب تنفيذ مبدأ التشفير الشفاف في نظام حماية التشفير. عند استخدامه ، تكون البيانات الموجودة في وحدة التخزين الرئيسية دائمًا في شكل مشفر فقط. بالإضافة إلى ذلك ، تتيح لك هذه التقنية تقليل تكلفة العمل المنتظم مع البيانات. لا تحتاج إلى فك تشفيرها وتشفيرها كل يوم. يتم الوصول إلى المعلومات باستخدام برنامج خاص مثبت على الخادم. يقوم تلقائيًا بفك تشفير المعلومات عند الوصول إليها وتشفيرها قبل كتابتها على القرص الصلب. يتم تنفيذ هذه العمليات مباشرة في ذاكرة الوصول العشوائي للخادم.
ثانيًا ، قواعد البيانات المصرفية ضخمة جدًا. وبالتالي ، يجب ألا يعمل نظام أمان المعلومات المشفرة مع افتراضية ، ولكن مع أقسام حقيقية من محركات الأقراص الثابتة ومصفوفات RAID ووسائط تخزين الخادم الأخرى ، على سبيل المثال ، مع تخزين SAN. الحقيقة هي أن ملفات الحاوية التي يمكن توصيلها بالنظام كأقراص افتراضية ليست مصممة للعمل مع كميات كبيرة من البيانات. في حالة وجود حجم كبير للقرص الظاهري الذي تم إنشاؤه من مثل هذا الملف ، حتى عندما يصل إليه العديد من الأشخاص في وقت واحد ، يمكنك ملاحظة انخفاض كبير في سرعة قراءة المعلومات وكتابتها. يمكن أن يتحول عمل عشرات الأشخاص الذين لديهم ملف حاوية كبير إلى عذاب محض. ضع في اعتبارك أيضًا أن هذه الكائنات معرضة لخطر التلف بسبب الفيروسات وفشل نظام الملفات وما إلى ذلك. بعد كل شيء ، في الواقع ، إنها ملفات عادية ، لكنها كبيرة إلى حد ما. وحتى التغيير البسيط فيها يمكن أن يؤدي إلى استحالة فك تشفير جميع المعلومات التي تحتوي عليها. كل من هذه المتطلبات الإلزامية تضيق بشكل كبير نطاق المنتجات المناسبة لتنفيذ الأمان. في الواقع ، لا يوجد سوى عدد قليل من هذه الأنظمة في السوق الروسية اليوم.
ليست هناك حاجة للنظر بالتفصيل في الميزات التقنية لأنظمة الخادم لحماية المعلومات المشفرة ، حيث قمنا بالفعل بمقارنة هذه المنتجات في إحدى المشكلات السابقة. (Stolyarov N.، Davletkhanov M. UTM-protection.) ولكن تجدر الإشارة إلى بعض ميزات مثل هذه الأنظمة ، والتي يفضل وجودها للبنوك. الأول يتعلق بالشهادة التي سبق ذكرها لوحدة التشفير المستخدمة. تمتلك معظم البنوك بالفعل البرامج أو الأجهزة المقابلة. لذلك ، يجب أن يوفر نظام حماية معلومات الخادم إمكانية الاتصال والاستخدام. المطلب الخاص الثاني لنظام أمن المعلومات هو القدرة على الاندماج في نظام الأمن المادي للمكتب و / أو غرفة الخادم. يتيح لك هذا حماية المعلومات من الوصول غير المصرح به المرتبط بالسرقة والقرصنة وما إلى ذلك.
يجب أن تولي البنوك اهتمامًا خاصًا بأمان المعلومات ، حيث إنها في الواقع أموال العملاء. لذلك ، يجب أن يوفر نظام الحماية ميزات خاصة لتقليل مخاطر ضياعها. واحدة من أبرزها هي وظيفة الكشف عن القطاعات التالفة على القرص الصلب. بالإضافة إلى ذلك ، فإن القدرة على إيقاف وإلغاء عمليات تشفير القرص الأولية وفك التشفير وإعادة التشفير لها أهمية كبيرة. هذه إجراءات طويلة إلى حد ما ، أي فشل خلالها يهدد الفقد الكامل لجميع البيانات.
للعامل البشري تأثير كبير جدًا على المخاطر المرتبطة بالوصول غير المصرح به إلى المعلومات السرية. لذلك ، من المستحسن أن يوفر نظام الحماية إمكانية تقليل هذه العلاقة. يتم تحقيق ذلك باستخدام وسائل موثوقة لتخزين مفاتيح التشفير - البطاقات الذكية أو مفاتيح USB. من الأفضل تضمين هذه الرموز المميزة في المنتج ؛ فهي لا تسمح فقط بتحسين التكاليف ، ولكنها تضمن أيضًا التوافق الكامل للبرامج والأجهزة.
هناك وظيفة أخرى مهمة تقلل من تأثير العامل البشري على موثوقية نظام الأمان وهي النصاب القانوني الرئيسي. يكمن جوهرها في تقسيم مفتاح التشفير إلى عدة أجزاء ، يتم إعطاء كل منها لموظف واحد مسؤول لاستخدامه. لتوصيل قرص مغلق ، يلزم عدد معين من الأجزاء. علاوة على ذلك ، قد يكون أقل من العدد الإجمالي للأجزاء الرئيسية. يتيح لك هذا النهج حماية البيانات من سوء الاستخدام من قبل الموظفين المسؤولين ، كما يوفر المرونة اللازمة لعمل البنك.
حماية النسخ الاحتياطي
يعد إجراء نسخ احتياطي منتظم لجميع المعلومات المخزنة في البنك إجراءً ضروريًا للغاية. يسمح لك بتقليل الخسائر بشكل كبير في حالة حدوث مشاكل مثل تلف البيانات بسبب الفيروسات أو فشل الأجهزة ، إلخ. ولكنه في الوقت نفسه يزيد من المخاطر المرتبطة بالوصول غير المصرح به. تدل الممارسة على أن الوسائط التي يتم تسجيل النسخ الاحتياطية عليها لا ينبغي تخزينها في غرفة الخادم ، ولكن في غرفة أخرى أو حتى في مبنى. خلاف ذلك ، في حالة نشوب حريق أو أي حادث خطير آخر ، فقد يتم فقدان كل من البيانات نفسها وأرشيفها بشكل غير قابل للاسترداد. يمكن فقط للتشفير حماية النسخ الاحتياطية بشكل موثوق من الاستخدام غير المصرح به. في هذه الحالة ، مع الاحتفاظ بمفتاح التشفير في المنزل ، يمكن لضابط الأمن نقل الوسائط بأمان مع المحفوظات إلى الموظفين الفنيين.
تتمثل الصعوبة الرئيسية في تنظيم الحماية المشفرة للنسخ الاحتياطية في الحاجة إلى فصل المسؤوليات عن إدارة أرشفة البيانات. يجب على مسؤول النظام أو أي فني آخر تكوين وتنفيذ عملية النسخ الاحتياطي نفسها. يجب أن تتم إدارة تشفير المعلومات من قبل موظف مسؤول - ضابط أمن. يجب أن يكون مفهوما أن التكرار في الغالبية العظمى من الحالات يتم بشكل تلقائي. لا يمكن حل هذه المشكلة إلا عن طريق "تضمين" نظام حماية مشفر بين نظام إدارة النسخ الاحتياطي والأجهزة التي تكتب البيانات (أجهزة البث ، ومحركات أقراص DVD ، وما إلى ذلك).
وبالتالي ، لكي تتمكن من استخدامها في البنوك ، يجب أن تكون منتجات التشفير أيضًا قادرة على العمل مع العديد من الأجهزة المستخدمة لكتابة نسخ احتياطية على وسائط التخزين: أجهزة البث ، ومحركات الأقراص المضغوطة وأقراص DVD ، والأقراص الثابتة القابلة للإزالة ، وما إلى ذلك.
اليوم ، هناك ثلاثة أنواع من المنتجات المصممة لتقليل المخاطر المرتبطة بالوصول غير المصرح به إلى النسخ الاحتياطية. الأول يتضمن أجهزة خاصة. تتمتع حلول الأجهزة هذه بالعديد من المزايا ، بما في ذلك التشفير الموثوق للمعلومات وسرعة التشغيل العالية. ومع ذلك ، فإن لها ثلاث عيوب كبيرة تمنع استخدامها في البنوك. أولاً: تكلفة عالية جداً (عشرات الآلاف من الدولارات). ثانيًا: المشاكل المحتملة مع الاستيراد إلى روسيا (يجب ألا ننسى أننا نتحدث عن وسائل التشفير). العيب الثالث هو عدم القدرة على توصيل مزودي التشفير الخارجيين المعتمدين بهم. تعمل هذه البطاقات فقط مع خوارزميات التشفير المطبقة فيها على مستوى الأجهزة.
تتكون المجموعة الثانية من أنظمة الحماية لحماية التشفير للنسخ الاحتياطية من وحدات يتم تقديمها لعملائها من قبل مطوري البرامج والأجهزة للنسخ الاحتياطي. إنها موجودة لجميع المنتجات الأكثر شهرة في هذا المجال: ArcServe و Veritas Backup Exec وما إلى ذلك. صحيح ، لديهم أيضًا خصائصهم الخاصة. أهم شيء هو العمل فقط مع برنامجك أو محرك الأقراص الخاص بك. في غضون ذلك ، يتطور نظام معلومات البنك باستمرار. ومن الممكن أن يتطلب استبدال أو توسيع نظام النسخ الاحتياطي تكاليف إضافية لتعديل نظام الحماية. بالإضافة إلى ذلك ، تقوم معظم المنتجات في هذه المجموعة بتطبيق خوارزميات تشفير بطيئة قديمة (على سبيل المثال ، 3DES) ، ولا توجد أدوات إدارة رئيسية ، ولا توجد إمكانية للاتصال بموفري التشفير الخارجيين.
كل هذا يجبرنا على إيلاء اهتمام وثيق لأنظمة الحماية المشفرة للنسخ الاحتياطية من المجموعة الثالثة. وهي تتضمن برامج وبرامج وأجهزة ومنتجات مطورة خصيصًا وغير مرتبطة بأنظمة أرشفة بيانات معينة. أنها تدعم مجموعة واسعة من أجهزة تسجيل المعلومات ، مما يسمح باستخدامها في جميع أنحاء البنك ، بما في ذلك جميع فروعه. هذا يضمن أن وسائل الحماية المستخدمة متسقة وأن تكاليف التشغيل يتم تقليلها إلى الحد الأدنى.
ومع ذلك ، تجدر الإشارة إلى أنه على الرغم من كل مزاياها ، هناك عدد قليل جدًا من المنتجات من المجموعة الثالثة في السوق. هذا على الأرجح بسبب عدم وجود طلب كبير على أنظمة حماية التشفير للنسخ الاحتياطية. بمجرد أن تدرك إدارة البنوك والمؤسسات الكبيرة الأخرى حقيقة المخاطر المرتبطة بأرشفة معلومات الأعمال ، سيزداد عدد اللاعبين في هذا السوق.
حماية من الداخل
أظهرت الأبحاث الحديثة في مجال أمن المعلومات ، مثل المسح السنوي للجريمة والأمن الحاسوبي CSI / FBI ، أن الخسائر المالية للشركات من معظم التهديدات تتناقص من سنة إلى أخرى. ومع ذلك ، هناك العديد من المخاطر التي تتزايد الخسائر منها. أحدها هو السرقة المتعمدة لمعلومات سرية أو انتهاك قواعد التعامل معها من قبل هؤلاء الموظفين الذين يكون وصولهم إلى البيانات التجارية ضروريًا لأداء واجباتهم الرسمية. يطلق عليهم المطلعين.
في الغالبية العظمى من الحالات ، تتم سرقة المعلومات السرية باستخدام وسائط الهاتف المحمول: الأقراص المضغوطة وأقراص DVD ، وأجهزة ZIP ، والأهم من ذلك ، جميع أنواع محركات أقراص USB. كان توزيعها الهائل هو الذي أدى إلى ازدهار المعرفة الداخلية حول العالم. يدرك رؤساء معظم البنوك جيدًا ما يمكن أن يكون مهددًا ، على سبيل المثال ، الحصول على قاعدة بيانات تحتوي على بيانات شخصية لعملائهم ، أو علاوة على ذلك ، تحويل المعاملات على حساباتهم إلى أيدي الهياكل الإجرامية. وهم يحاولون التعامل مع السرقة المحتملة للمعلومات بالطرق التنظيمية المتاحة لهم.
ومع ذلك ، فإن الأساليب التنظيمية غير فعالة في هذه الحالة. اليوم ، يمكنك تنظيم نقل المعلومات بين أجهزة الكمبيوتر باستخدام محرك أقراص فلاش صغير ، وهاتف خلوي ، ومشغل mp3 ، وكاميرا رقمية ... بالطبع ، يمكنك محاولة منع إدخال جميع هذه الأجهزة إلى المكتب ، ولكن هذا أولاً ، سيؤثر سلبًا على العلاقات مع الموظفين ، وثانيًا ، لا يزال من الصعب جدًا إنشاء سيطرة فعالة حقًا على الأشخاص - فالبنك ليس "صندوق بريد". وحتى تعطيل جميع الأجهزة الموجودة على أجهزة الكمبيوتر التي يمكن استخدامها لكتابة المعلومات إلى الوسائط الخارجية (أقراص FDD و ZIP ومحركات الأقراص المضغوطة وأقراص DVD وما إلى ذلك) ومنافذ USB لن يساعد. بعد كل شيء ، الأول مطلوب للعمل ، بينما الأخير متصل بأجهزة طرفية مختلفة: الطابعات والماسحات الضوئية وما إلى ذلك. ولا يمكن لأحد أن يمنع أي شخص من إيقاف تشغيل الطابعة لمدة دقيقة ، وإدخال محرك أقراص فلاش في المنفذ الذي تم إخلاؤه ونسخ المعلومات المهمة إليه. يمكنك بالطبع العثور على طرق أصلية للحماية. على سبيل المثال ، في أحد البنوك جربوا هذه الطريقة لحل المشكلة: لقد ملأوا تقاطع منفذ USB والكابل براتنج الإيبوكسي ، وربطوا الأخير بالكمبيوتر بإحكام. لكن لحسن الحظ ، توجد اليوم طرق تحكم أكثر حداثة وموثوقية ومرونة.
أكثر الوسائل فعالية لتقليل المخاطر المرتبطة بالمطلعين هي البرامج الخاصة التي تدير ديناميكيًا جميع الأجهزة والمنافذ الموجودة على جهاز الكمبيوتر والتي يمكن استخدامها لنسخ المعلومات. مبدأ عملهم على النحو التالي. لكل مجموعة مستخدمين أو لكل مستخدم على حدة ، يتم تعيين الأذونات لاستخدام منافذ وأجهزة مختلفة. أكبر ميزة لهذه البرامج هي مرونتها. يمكنك فرض قيود على أنواع معينة من الأجهزة ونماذجها ومثيلاتها الفردية. هذا يسمح بتنفيذ سياسات توزيع حقوق الوصول المعقدة للغاية.
على سبيل المثال ، يمكن السماح لبعض الموظفين باستخدام أي طابعات وماسحات ضوئية متصلة بمنافذ USB. ستظل جميع الأجهزة الأخرى التي تم إدخالها في هذا المنفذ غير قابلة للوصول. إذا كان البنك يستخدم نظام مصادقة مستخدم قائم على الرمز المميز ، فيمكنك في الإعدادات تحديد نموذج المفتاح المستخدم. بعد ذلك ، سيُسمح للمستخدمين باستخدام الأجهزة التي اشترتها الشركة فقط ، وستكون جميع الأجهزة الأخرى عديمة الفائدة.
استنادًا إلى مبدأ أنظمة الحماية الموصوفة أعلاه ، يمكنك فهم النقاط المهمة عند اختيار البرامج التي تنفذ الحظر الديناميكي لأجهزة التسجيل ومنافذ الكمبيوتر. أولاً ، إنها براعة. يجب أن يغطي نظام الحماية النطاق الكامل للمنافذ الممكنة وأجهزة الإدخال والإخراج. خلاف ذلك ، تظل مخاطر سرقة المعلومات التجارية عالية بشكل غير مقبول. ثانيًا ، يجب أن يكون البرنامج المعني مرنًا ويسمح بإنشاء قواعد باستخدام قدر كبير من المعلومات المختلفة حول الأجهزة: أنواعها ، ومصنعي النماذج ، والأرقام الفريدة التي يمتلكها كل مثيل ، وما إلى ذلك. وثالثًا ، يجب أن يكون نظام الحماية من الداخل قادرًا على الاندماج مع نظام معلومات البنك ، ولا سيما مع Active Directory. خلاف ذلك ، سيتعين على المسؤول أو مسؤول الأمن الاحتفاظ بقاعدتي بيانات للمستخدمين وأجهزة الكمبيوتر ، وهذا ليس فقط غير مريح ، ولكنه يزيد أيضًا من مخاطر الأخطاء.
تلخيص لما سبق
لذلك ، توجد اليوم منتجات في السوق يمكن لأي بنك من خلالها تنظيم نظام موثوق به لحماية المعلومات من الوصول غير المصرح به وسوء الاستخدام. صحيح ، عند اختيارهم ، عليك أن تكون حذرًا للغاية. من الناحية المثالية ، ينبغي أن يتم ذلك من قبل المتخصصين لدينا من المستوى المناسب. يُسمح باستخدام خدمات الأطراف الثالثة. ومع ذلك ، في هذه الحالة ، يكون الوضع ممكنًا عندما يُفرض على البنك بمهارة عدم وجود برامج كافية ، ولكن تلك البرامج المفيدة للمورد. بالإضافة إلى ذلك ، فإن سوق استشارات أمن المعلومات المحلي في مهده.
وفي الوقت نفسه ، فإن اتخاذ القرار الصحيح ليس بالأمر الصعب على الإطلاق. يكفي أن تتسلح بالمعايير التي قمنا بإدراجها وأن تدرس بعناية سوق أنظمة الأمان. ولكن هناك "مأزق" هنا يجب تذكره. من الناحية المثالية ، يجب أن يكون نظام أمن المعلومات الخاص بالبنك موحدًا. أي أنه يجب دمج جميع الأنظمة الفرعية في نظام المعلومات الحالي ، ويفضل أن يكون لها إدارة مشتركة. خلاف ذلك ، فإن زيادة تكاليف العمالة لإدارة الحماية وزيادة المخاطر بسبب الأخطاء في الإدارة أمر لا مفر منه. لذلك ، لبناء أنظمة الحماية الفرعية الثلاثة الموصوفة اليوم ، من الأفضل اختيار المنتجات التي أصدرها مطور واحد. يوجد اليوم في روسيا شركات تنشئ كل ما هو ضروري لحماية المعلومات المصرفية من الوصول غير المصرح به.
يختلف نظام حماية المعلومات الخاص بالبنوك اختلافًا كبيرًا عن الاستراتيجيات المماثلة للشركات والمؤسسات الأخرى. ويرجع ذلك في المقام الأول إلى الطبيعة المحددة للتهديدات ، فضلاً عن الأنشطة العامة للبنوك ، والتي تضطر إلى جعل الوصول إلى الحسابات أمرًا سهلاً بدرجة كافية لراحة العملاء.
مع تطور وتوسيع نطاق تكنولوجيا الكمبيوتر ، تتزايد حدة مشكلة ضمان أمن أنظمة الكمبيوتر وحماية المعلومات المخزنة والمعالجة فيها من التهديدات المختلفة. هناك عدد من الأسباب الموضوعية لهذا.
العامل الرئيسي هو زيادة مستوى الثقة في أنظمة معالجة المعلومات الآلية. يتم تكليفهم بأكثر الأعمال مسؤولية ، والتي تحدد جودتها حياة ورفاهية العديد من الأشخاص. تتحكم أجهزة الكمبيوتر في العمليات التكنولوجية في المؤسسات ومحطات الطاقة النووية ، وتحركات الطائرات والقطارات ، وإجراء المعاملات المالية ، ومعالجة المعلومات السرية.
هناك العديد من الخيارات لحماية المعلومات - من حارس أمن عند المدخل إلى طرق تم التحقق منها رياضيًا لإخفاء البيانات عن المعارف. بالإضافة إلى ذلك ، يمكننا التحدث عن الحماية العالمية وجوانبها الفردية: حماية أجهزة الكمبيوتر الشخصية والشبكات وقواعد البيانات وما إلى ذلك.
وتجدر الإشارة إلى عدم وجود أنظمة آمنة تمامًا. يمكننا التحدث عن موثوقية النظام ، أولاً ، فقط مع وجود احتمال معين ، وثانياً ، عن الحماية من فئة معينة من المخالفين. ومع ذلك ، يمكن توقع الاختراقات في نظام الكمبيوتر. الدفاع هو نوع من المنافسة بين الدفاع والهجوم: الشخص الذي يعرف أكثر ويقدم تدابير فعالة هو الفائز.
تنظيم حماية نظام معالجة المعلومات الآلي للبنك عبارة عن مجموعة واحدة من التدابير التي يجب أن تأخذ في الاعتبار جميع ميزات عملية معالجة المعلومات. على الرغم من الإزعاج الذي يحدث للمستخدم أثناء العمل ، في كثير من الحالات ، قد تكون معدات الحماية ضرورية للغاية للتشغيل العادي للنظام. تشمل الإزعاجات الرئيسية المذكورة أعلاه Yu.V. Gaikovich ، A.S. Pershin. أمن الأنظمة المصرفية الإلكترونية. - M: United Europe ، 1994. - S. 33:
من الصعب تخيل بنك حديث بدون نظام معلومات آلي. يعد اتصال أجهزة الكمبيوتر ببعضها البعض وبأجهزة كمبيوتر أكثر قوة ، وكذلك بأجهزة الكمبيوتر الخاصة بالبنوك الأخرى شرطًا ضروريًا للتشغيل الناجح للبنك - هناك العديد من العمليات التي يجب إجراؤها في غضون فترة زمنية قصيرة .
في الوقت نفسه ، أصبحت أنظمة المعلومات واحدة من أكثر الجوانب ضعفًا في أي بنك حديث ، حيث تجذب المتسللين ، سواء من موظفي البنك أو من الخارج. تختلف تقديرات الخسائر من الجرائم المرتبطة بالتدخل في أنشطة أنظمة المعلومات في البنوك بشكل كبير. تتأثر بتنوع طرق حسابها. يبلغ متوسط سرقة البنوك باستخدام الأموال الإلكترونية حوالي 9000 دولار ، وتتضمن إحدى الفضائح الأكثر شهرة محاولة لسرقة 700 مليون دولار (First National Bank ، شيكاغو).
علاوة على ذلك ، من الضروري مراعاة ليس فقط مقدار الضرر المباشر ، ولكن أيضًا الإجراءات الباهظة الثمن التي يتم تنفيذها بعد محاولات ناجحة لاقتحام أنظمة الكمبيوتر. لذلك ، فإن أحد الأمثلة الأكثر لفتًا للانتباه هو فقدان البيانات المتعلقة بالعمل مع الحسابات السرية لبنك إنجلترا في يناير 1999. أجبرت هذه الخسارة البنك على تغيير رموز جميع حسابات المراسلين. في هذا الصدد ، في المملكة المتحدة ، تم تنبيه جميع الاستخبارات المتاحة وقوات مكافحة التجسس من أجل منع التسرب المحتمل للمعلومات التي يمكن أن تسبب أضرارًا جسيمة. اتخذت الحكومة إجراءات متطرفة لضمان عدم معرفة الغرباء بالحسابات والعناوين التي يرسل إليها بنك إنجلترا مئات المليارات من الدولارات يوميًا. علاوة على ذلك ، كانوا في المملكة المتحدة أكثر خوفًا من الموقف الذي يمكن أن تكون فيه البيانات تحت تصرف أجهزة الاستخبارات الأجنبية. في هذه الحالة ، قد تتعرض شبكة المراسلين الماليين التابعة لبنك إنجلترا بالكامل للانكشاف. تم التخلص من الضرر في غضون أسابيع قليلة.
Adzhiev V. أساطير حول أمان البرامج: دروس من الكوارث الشهيرة // الأنظمة المفتوحة. - 1999. - رقم 6. - ج 21-24
تعتمد الخدمات التي تقدمها البنوك اليوم بشكل كبير على استخدام الوسائل الإلكترونية للتفاعل بين البنوك والبنوك وعملائها وشركائها التجاريين. في الوقت الحالي ، أصبح الوصول إلى الخدمات المصرفية ممكنًا من مواقع نائية مختلفة ، بما في ذلك المحطات الطرفية المنزلية وأجهزة الكمبيوتر المكتبية. هذه الحقيقة تجعل المرء يبتعد عن مفهوم "الأبواب المغلقة" ، الذي كان سمة للبنوك في الستينيات ، عندما تم استخدام أجهزة الكمبيوتر في معظم الحالات في الوضع الدفعي كوسيلة مساعدة ولم يكن لها اتصال بالعالم الخارجي.
يلعب مستوى معدات الأتمتة دورًا مهمًا في أنشطة البنك ، وبالتالي يؤثر بشكل مباشر على وضعه ودخله. يؤدي تعزيز المنافسة بين البنوك إلى الحاجة إلى تقليل الوقت اللازم للتسوية وزيادة النطاق وتحسين جودة الخدمات المقدمة. كلما قل الوقت الذي تستغرقه التسويات بين البنك والعملاء ، كلما ارتفع معدل دوران البنك ، وبالتالي ، سيصبح الربح. بالإضافة إلى ذلك ، سيتمكن البنك من الاستجابة بسرعة أكبر للتغيرات في الوضع المالي. مجموعة متنوعة من الخدمات المصرفية (أولاً وقبل كل شيء ، يشير هذا إلى إمكانية المدفوعات غير النقدية بين البنك وعملائه باستخدام البطاقات البلاستيكية) يمكن أن تزيد بشكل كبير من عدد عملائها ، ونتيجة لذلك ، تزيد الأرباح.
يجب أن يأخذ أمن المعلومات المصرفية في الاعتبار العوامل المحددة التالية:
الجرائم في القطاع المصرفي لها أيضًا خصائصها الخاصة Gamza V.A. ، Tkachuk I.B. ضمان بنك تجاري. - م: أوروبا المتحدة ، 2000. - 24 م:
كقاعدة عامة ، يستخدم المهاجمون عادةً حساباتهم الخاصة ، والتي يتم تحويل المبالغ المسروقة إليها. معظم المجرمين لا يعرفون كيف "يغسلون" الأموال المسروقة. معرفة كيفية ارتكاب جريمة ومعرفة كيفية الحصول على المال ليسا نفس الشيء.
معظم جرائم الكمبيوتر تافهة. الأضرار الناجمة عنهم تتراوح من 10000 دولار إلى 50000 دولار.
تتطلب جرائم الكمبيوتر الناجحة عادةً عددًا كبيرًا من المعاملات المصرفية (تصل إلى عدة مئات). ومع ذلك ، يمكن تحويل مبالغ كبيرة في عدد قليل من المعاملات.
معظم المهاجمين كتبة. على الرغم من أن كبار موظفي البنك يمكنهم أيضًا ارتكاب جرائم والتسبب في المزيد من الضرر للبنك ، إلا أن مثل هذه الحالات نادرة.
جرائم الكمبيوتر ليست دائما عالية التقنية. يكفي تزوير البيانات وتغيير معلمات بيئة ASOIB وما إلى ذلك ، وهذه الإجراءات متاحة أيضًا لموظفي الخدمة.
يشرح العديد من مجرمي الإنترنت أفعالهم من خلال حقيقة أنهم يقترضون فقط من أحد البنوك بعائد لاحق. ومع ذلك ، كقاعدة عامة ، لا يوجد "عودة".
ترجع خصوصية حماية الأنظمة الآلية لمعالجة معلومات البنوك إلى خصائص المهام التي تحلها:
كقاعدة عامة ، يعالج ASOIB تدفقًا كبيرًا من الطلبات التي تصل باستمرار في الوقت الفعلي ، وكل منها لا يتطلب موارد عديدة للمعالجة ، ولكن لا يمكن معالجتها معًا إلا من خلال نظام عالي الأداء ؛
يقوم ASOIB بتخزين ومعالجة المعلومات السرية غير المخصصة لعامة الناس. يمكن أن يؤدي تزويرها أو تسريبها إلى عواقب وخيمة (للبنك أو لعملائه). لذلك ، فإن ASOIB محكوم عليها أن تظل مغلقة نسبيًا ، وتعمل تحت سيطرة برامج معينة وتولي اهتمامًا كبيرًا لضمان أمنها ؛
ميزة أخرى لـ ASOIB هي المتطلبات المتزايدة لموثوقية البرامج والأجهزة. ونتيجة لذلك ، فإن العديد من ASOIB الحديثة تنجذب نحو ما يسمى بعمارة أجهزة الكمبيوتر المتسامحة مع الأخطاء ، والتي تسمح بالمعالجة المستمرة للمعلومات حتى في ظل ظروف الفشل والإخفاق المختلفة.
يرتبط استخدام ASOI من قبل البنوك بخصائص حماية هذه الأنظمة ، لذلك يجب على البنوك إيلاء المزيد من الاهتمام لحماية أنظمتها الآلية.
استنتاجات بشأن الفصل الأول:
في عام 2004 (وبعد ذلك ، مع التعديلات التي تم إجراؤها في عام 2006) ، عُرض على المجتمع المصرفي معيار بنك روسيا "ضمان أمن المعلومات للمؤسسات في النظام المصرفي للاتحاد الروسي أو STO BR IBBS" ، والذي تم تصميمه لمنع ظهور من التهديدات في نظام أمن المعلومات للبنوك والمخاطر ذات الصلة. يحتوي نظام المعايير اليوم بالفعل على خمس وثائق ، بما في ذلك معيار التدقيق ، ومنهجية لتقييم الامتثال لمتطلبات المعيار ، وكذلك التوصيات المقابلة للتوحيد (RS).
الجدول 1
|
ضمان أمن المعلومات لمنظمات النظام المصرفي لروسيا الاتحادية المعايير (STO) وتوصيات التوحيد (RS) |
|||
|
مصنف STO BR IBBS - 0.0 |
المصطلحات والتعريفات STO BR IBBS - 0.1 |
||
|
الأحكام العامة STO BR IBBS - 1.0.0 تحديث |
تدقيق أمن المعلومات STO BR IBBS - 1.1.2 تحديث |
منهجية تقييم المطابقة STO BR IBBS - 1.2.2 تحديث |
|
|
وثائق أمن المعلومات RS BR IBBS - 2.0.0 تحديث |
دليل التقييم الذاتي RS BR IBBS - 2.1.0 تحديث |
||
|
منهجية تصنيف الأصول RS BR IBBS - 2.2.1 تحديث |
منهجية تقييم المخاطر RS BR IBBS - 2.3.1 تحديث |
||
تستند مجموعة المعايير إلى أيديولوجية معيار الجودة الدولي ISO (المنظمة الدولية للمعايير القياسية) لسلسلة 9000. يكون معنى هذا المعيار كما يلي: إذا تم توفير ظروف إنتاج ثابتة والتحكم فيها أثناء إنتاج منتج ، ثم جودة المنتجات سوف تتوافق دائمًا مع المتطلبات الأصلية مسبقًا. كانت أيديولوجية النظام الدولي للمعايير لسلسلة ISO 9000 هي الأساس لإيديولوجية معايير COBIT ، ISO / IES 17799 ، 15408 ، ثم سلسلة 27000 ، وهي المعايير الأساسية لأمن المعلومات.
الشيء التالي الذي يشكل أساس أيديولوجية معايير الأمن لبنك روسيا هو مخاطر أمن المعلومات ، والتي ، وفقًا لتوصيات بازل 2 ، يتم تضمينها في المخاطر التشغيلية.
لتطوير المعيار ، تم إجراء دراسات عن نظائرها الأجنبية ، وأفضل الممارسات للمعايير الوطنية ، ومعايير ISO الدولية ، وتم إجراء أعمال بحثية ، وتم إنشاء لجنة فرعية خاصة للتوحيد القياسي (اللجنة الفرعية رقم 3 "أمن المعلومات في الائتمان والمالية sphere "للجنة الفنية رقم 362" أمن المعلومات "الخدمة الفيدرالية للتنظيم الفني والمقاييس).
اللجنة الفرعية هي هيئة دائمة تضمن على مستوى الدولة التطوير والتنسيق والتحضير للموافقة وفحص الوثائق في مجال توحيد المعايير لحماية المعلومات وأمن المعلومات في المجال الائتماني والمالي للاتحاد الروسي. تضم اليوم أكثر من عشرين من أكبر المؤسسات الائتمانية بالإضافة إلى المنظمات التي تحتل مكانًا مهمًا في السوق لأدوات وخدمات أمن المعلومات وممثلي الهيئات التنظيمية الفنية.
بالإضافة إلى ذلك ، من أجل دعم تنفيذ المعيار في الممارسة العملية ، تم إنشاء مجتمع ABISS (جمعية معايير أمن المعلومات المصرفية) - مجتمع من مستخدمي معايير البنك المركزي للاتحاد الروسي لضمان أمن المعلومات للمنظمات للنظام المصرفي في الاتحاد الروسي. يشمل المجتمع جميع المؤسسات الائتمانية والمالية المهتمة ، بما في ذلك العديد من البنوك.
مبادئ أمن المعلومات وفقًا لمعايير بنك روسيا (ليست إجابة واضحة جدًا ، كل شيء في كومة ، لكن لا يوجد أفضل منها)
لماذا المعيار مطلوب؟
يعمل البنك بأموال الكيانات الاقتصادية والمالية الأخرى. في حال واجه صعوبات جدية ، والتي ستصبح معروفة بالتأكيد وبسرعة كبيرة ، ستضطر مؤسسات ائتمانية أخرى إلى إغلاق خطوط إعادة التمويل له ، وهذا سيدفع العملاء إلى سحب أو عدم تجديد ودائعهم - وهذا سيؤدي حتما لأزمة سيولة. يمكن أن يؤدي زعزعة استقرار عمل حتى أحد مكوناته إلى انهيار منهجي ، مما يشكل بالفعل تهديدًا للدولة.
المبادئ الأساسية لضمان معيار IS.
تعكس المبادئ العامة للأداء الآمن للمنظمة جوهر مفهوم "أمن المعلومات لتنظيم النظام المصرفي للاتحاد الروسي" ، والذي تم تعريفه في المعيار على أنه "حالة حماية مصالح (أهداف) تنظيم النظام المصرفي (BS) للاتحاد الروسي في ظروف التهديدات في مجال المعلومات ".
على وجه الخصوص ، يركزون على منع مثل هذه المواقف عندما يتم تثبيت نظام تحكم في الوصول فائق القوة ومكلف ومعتمد في نظام المالك ، وفي الواقع بعد شهر اتضح أن كل شيء مسموح به في النظام. في الوقت نفسه ، لا يزال المالك واثقًا من أنه ، بعد أن استثمر أموالًا كبيرة ، لديه نظام أمان موثوق به ، ولكن من الناحية العملية ، كل شيء مختلف. وبالتالي ، يجب فقط تثبيت تلك التدابير الوقائية في النظام ، والتي يمكن التحقق من التشغيل الصحيح لها.
نماذج التهديدات والمخالفين لمعيار IS.
يتم دعم أنشطة مؤسسة RF BS من خلال البنية التحتية للمعلومات المدرجة في هيكلها ، والتي تضمن تنفيذ التقنيات المصرفية ويمكن تمثيلها في شكل تسلسل هرمي للمستويات الرئيسية التالية:
- المادية (خطوط الاتصال ، الأجهزة ، إلخ) ؛
- الشبكة (أجهزة الشبكة: أجهزة التوجيه ، والمفاتيح ، والمحاور ، وما إلى ذلك) ؛
- تطبيقات وخدمات الشبكة ؛
- أنظمة التشغيل (OS) ؛
- أنظمة إدارة قواعد البيانات (DBMS) ؛
- العمليات والتطبيقات التكنولوجية المصرفية ؛
- العمليات التجارية للمنظمة.
في الوقت نفسه ، تختلف طرق ووسائل الحماية وطرق تقييم الفعالية في كل مستوى من مستويات التهديد المدرجة ومصادرها (بما في ذلك المهاجمون). يجب أن تحدد المنظمة أهدافًا محددة للحماية على كل مستوى من مستويات البنية التحتية للمعلومات.
كما تحدده أحكام المعيار أنه من الممكن تطوير نماذج للتهديدات ومخالفي تنظيم الدولة الإسلامية لمنظمة معينة. تستند متطلبات نموذج تهديد داعش ، بما في ذلك وصف مصادر التهديد ونقاط الضعف المستخدمة بواسطة التهديدات وأساليب وأهداف الهجمات المناسبة لتنفيذ التهديد وأنواع الخسارة المحتملة وحجم الضرر المحتمل ، إلى المتطلبات ذات الصلة للمعايير الدولية .
بالنسبة لمصادر التهديدات - الأشخاص ، يمكن تطوير نموذج للمتطفلين (المنتهكين) ، بما في ذلك وصف الخبرة والمعرفة والموارد المتاحة اللازمة لتنفيذ التهديد والدافع المحتمل لأفعالهم.
هو سياسة المعيار.
يتضمن المعيار متطلبات (قواعد) أمن المعلومات العامة في المجالات الثمانية التالية ، والتي يجب أن تنعكس في سياسة أمن المعلومات الخاصة بالمنظمة:
1. تحديد الأدوار وتوزيعها وضمان الثقة في الموظفين ؛
2. نظم مصرفية مؤتمتة في مراحل دورة الحياة.
3. هو توفير لمراقبة الدخول والتسجيل.
4. تزويد IS بوسائل الحماية من الفيروسات ؛
5. توفير أمن المعلومات عند استخدام موارد الإنترنت.
6. توفير أمن المعلومات عند استخدام أدوات حماية المعلومات المشفرة.
7. توفير IS للعمليات التكنولوجية للدفع المصرفي.
8. هو الحفاظ على عمليات تكنولوجيا المعلومات المصرفية.
في الوقت نفسه ، يمكن مراعاة المجالات الأخرى لأمن المعلومات التي تفي بأهداف أعمالها في سياسة نظم المعلومات الخاصة بالمنظمة.
جرائم الكمبيوتر في البنك هي إدراك التهديدات لأمن المعلومات.
تنقسم التهديدات إلى عامة (نموذجية لأي نظام معلومات) ومحددة (مرتبطة بوظائف مؤسسة ائتمانية). يمكن تلخيص التصنيف التالي:
التهديدات الطبيعية:
الكوارث الطبيعية (تعطيل نظام المعلومات. التدمير المادي للأشخاص والناقلات)
العواصف المغناطيسية والإشعاع المشع (التأثير على وسائط التخزين المغناطيسية والوسائل الإلكترونية لمعالجة البيانات ونقلها. أعطال المعدات وأعطالها)
اصطلاحي:
انقطاع التيار الكهربائي (فقدان المعلومات)
أعطال الأجهزة والأعطال (التشويه وفقدان المعلومات)
الإشعاع والتداخل الكهرومغناطيسي (نقل غير مصرح به للمعلومات خارج نظام المعلومات)
التسريبات عبر قنوات الاتصال (بسبب الاحتمال الحالي لإزالته بأجهزة استشعار خاصة أو من خلال الاتصال المباشر.)
العامل البشري
الإجراءات غير المقصودة أو المقصودة من قبل موظفي الإدارة والصيانة والمبرمجين ومستخدمي نظام المعلومات والخدمات الأمنية وما إلى ذلك.
على وجه التحديد بالنسبة للنظام المصرفي ، تعتبر التهديدات المحددة التالية مهمة:
- الوصول غير المصرح به من قبل أشخاص غير مصرح لهم ولا ينتمون إلى عدد موظفي البنك ، والتعريف بالمعلومات السرية المخزنة ؛
- تعريف موظفي البنك بالمعلومات التي لا ينبغي لهم الوصول إليها ؛
- النسخ غير المصرح به للبرامج والبيانات ؛
- اعتراض والكشف اللاحق عن المعلومات السرية المنقولة عبر قنوات الاتصال ؛
- سرقة وسائط مغناطيسية تحتوي على معلومات سرية ؛
- سرقة المستندات البنكية المطبوعة ؛
- الإتلاف العرضي أو المتعمد للمعلومات ؛
- التعديل غير المصرح به من قبل موظفي البنك للوثائق والتقارير وقواعد البيانات المالية.
- تزوير الرسائل المرسلة عبر قنوات الاتصال ، بما في ذلك فرض رسالة سبق إرسالها ؛
- رفض تلقي المعلومات ؛
- تدمير بنية الملف بسبب التشغيل غير الصحيح للبرامج أو الأجهزة ؛
- تدمير المعلومات بسبب التأثيرات الفيروسية ؛
- إتلاف المعلومات المصرفية الأرشيفية المخزنة على وسائط ممغنطة ؛
- سرقة المعدات ؛
- الخلل في البرمجيات ؛
- أعطال المعدات ، بما في ذلك بسبب انقطاع التيار الكهربائي وعوامل أخرى تعيق تشغيل الجهاز.
كيف تجعلها آمنة في كل حالة؟
نظام الأمن المصرفي المتكامل عبارة عن مجموعة من الإجراءات التنظيمية والقانونية المترابطة التي تتخذ لحماية البنك من الإجراءات الحقيقية أو المحتملة للأفراد والكيانات القانونية التي يمكن أن تؤدي إلى خسائر كبيرة.
المهام الرئيسية لنظام الأمان هي:
ضمان أمن البنك
تنظيم العمل المكتبي الخاص ، باستثناء الاستلام غير المصرح به للمعلومات السرية ؛
تحديد وتوطين القنوات المحتملة للإفصاح والتسرب والوصول غير المصرح به إلى المعلومات السرية في سياق الأنشطة اليومية وفي الحالات القصوى ؛
ضمان الأمن في جميع أنواع الأنشطة ، بما في ذلك الاجتماعات والمفاوضات والاجتماعات المتعلقة بالتعاون التجاري على المستويين الوطني والدولي ؛
ضمان حماية المباني والمباني والمعدات والوسائل التقنية لضمان أنشطة الإنتاج ؛
ضمان سلامة الموظفين ؛
يعمل نظام الأمن على أساس الوثائق التنظيمية والقانونية التالية:
ميثاق البنك
اللوائح الأمنية ؛
مبادئ توجيهية لحماية المعلومات السرية ؛
تعليمات بشأن إجراءات العمل مع المتخصصين الأجانب ؛
مبادئ توجيهية للحماية الهندسية والتقنية للمباني والمعدات التقنية.
