Az adatbank minden automatizált rendszer része, például CAD, ACS, ACS stb. Az adatbank feladata az információs modell rendkívül fontos állapotban tartása és a felhasználói kérések biztosítása. Ehhez három műveletet kell végrehajtani az adatbankban: engedélyezés, törlés, módosítás. Ezek a műveletek biztosítják az adatok tárolását és módosítását.
Egy automatizált rendszer kifejlesztésével megváltozik a tárgykörben lévő tárgyak összetétele, változnak a köztük lévő kapcsolatok. Mindezt tükrözni kell az információs rendszerben. Így az adatbank szervezetének rugalmasnak kell lennie. Mutassuk meg az adatbank helyét az automatizált rendszer részeként.
Az adatbank tervezésekor rendkívül fontos két szempontot figyelembe venni a felhasználói kérések biztosításában.
1) Egy adott tárgykör határainak meghatározása és információs modell kidolgozása. Vegye figyelembe, hogy az adatbanknak a jelenben és a jövőben is tájékoztatnia kell a teljes rendszert, figyelembe véve annak fejlődését.
2) Az adatbank fejlesztésének a felhasználói kérések hatékony kiszolgálására kell irányulnia. E tekintetben rendkívül fontos elemezni a felhasználói kérések típusait és típusait. Rendkívül fontos az automatizált rendszer funkcionális feladatainak elemzése is, amelyhez ez a bank információforrás lesz.
Az adatbank felhasználóit a következő jellemzők különböztetik meg:
· A bankkal folytatott kommunikáció állandósága alapján.
Felhasználók : állandó és egyszeri ;
· A felvételi szint szerint. Az adatok egy részét védeni kell;
· A kérelem benyújtásának formájával. Kéréseket programozók, nem programozók, feladathasználók adhatnak meg.
Az adatbázisban a felhasználók nagy heterogenitása miatt egy speciális eszköz áll rendelkezésre, amely minden lekérdezést egyetlen terminológiába hoz. Ezt az eszközt általában ún adatszótár.
Kiemeljük elsődleges követelmények erre válaszolni kell adatbank külső felhasználók által ... Az adatbanknak:
1. Lehetővé teszi nagy mennyiségű, sokoldalú információ tárolását és módosítását. Megfelelni a mai és új felhasználói igényeknek.
Biztosítsa a tárolt információk meghatározott szintű megbízhatóságát és következetességét.
3. Biztosítsa az adatokhoz való hozzáférést csak azoknak a felhasználóknak, akik rendelkeznek a megfelelő jogosultsággal.
4. Lehetővé kell tenni az információk tetszőleges attribútumcsoporton belüli keresését.
5. A lekérdezések feldolgozása során eleget tesz a meghatározott teljesítménykövetelményeknek.
6. Legyen képes átszervezni és bővíteni, amikor megváltoztatja a tárgyterület határait.
7. Különféle formában biztosítsa a felhasználó számára az információk kiadását.
8. Lehetővé kell tenni számos külső felhasználó egyidejű kiszolgálását.
E követelmények teljesítése érdekében feltétlenül be kell vezetni a központosított adatkezelést.
Kiemeljük a centralizált menedzsment legfontosabb előnyei adatok a korábban használt biztosítékokhoz képest.
1) A tárolt adatok redundanciájának csökkentése. A több alkalmazás által használt adatokat strukturálják (integrálják) és egyetlen példányban tárolják.
2) A tárolt adatok következetlenségének kiküszöbölése. Az adatok redundanciája miatt megszűnik az a helyzet, amikor az adatok tényleges megváltoztatásakor úgy tűnik, hogy nem minden rekordban változtak.
3) Az adatok többdimenziós felhasználása egyetlen bemenettel.
4) Átfogó optimalizálás a felhasználói igények elemzésén alapul. Olyan adatstruktúrákat választanak ki, amelyek a lehető legjobb szolgáltatást nyújtják.
5) A szabványosítás lehetőségének biztosítása. Ez megkönnyíti az adatcserét más automatizált rendszerekkel, valamint az adatok nyomon követésére és helyreállítására vonatkozó eljárásokat.
6) Az adatokhoz való jogosult hozzáférés lehetőségének biztosítása, ᴛ.ᴇ. az adatvédelmi mechanizmusok elérhetősége.
Hangsúlyozni kell, hogy a központosított adatkezelés fő problémája az alkalmazások függetlenségének biztosítása az adatoktól. Ez annak köszönhető, hogy az adatintegráció, az adatstruktúrák optimalizálása megköveteli a tárolt adatábrázolás és az adathozzáférési módszer megváltoztatását.
Kimenet: Az adatbank fő megkülönböztető jellemzője a központosított adatkezelés megléte.
Rosstandart 2018. március 28-i végzése, 156. sz. "Az Orosz Föderáció nemzeti szabványának jóváhagyásáról"
Rosstandart 2017. augusztus 8-i végzése, 822-es sz. "Az Orosz Föderáció nemzeti szabványának jóváhagyásáról"
A szabvány végrehajtásának fő célkitűzései „Az Orosz Föderáció bankrendszerének szervezeteinek információbiztonságának biztosítása. Általános rendelkezések "STO BR IBBS -1.0 (a továbbiakban - szabvány):
A szabvány fő céljai:
Internetes fizetési rendszer Pénzügyi, üzleti szervezetek és internethasználók közötti elszámolási rendszer az áruk és szolgáltatások interneten keresztül történő vásárlása / eladása során. Ez a fizetési rendszer lehetővé teszi, hogy a rendelésfeldolgozási szolgáltatást vagy az elektronikus kirakatot teljes értékű üzletté alakítsa, minden szabványos attribútummal: az eladó webhelyén kiválasztva egy terméket vagy szolgáltatást, a vásárló fizethet anélkül, hogy elhagyná a számítógép.
Az e-kereskedelmi rendszerben a kifizetéseket számos feltételhez kötik:
1. A titoktartás betartása. Amikor az interneten keresztül fizet, az ügyfél azt szeretné, hogy adatait (például hitelkártya számát) csak azok a szervezetek ismerjék meg, amelyek erre törvényes joggal rendelkeznek.
2. Az információ integritásának megőrzése. A vásárlási információkat senki nem módosíthatja.
3. Hitelesítés. A vevőknek és az eladóknak biztosnak kell lenniük abban, hogy a tranzakció minden fele az, aki azt mondja.
4. Fizetési mód. Fizetési képesség a vevő rendelkezésére álló bármilyen fizetési eszközzel.
6. Az eladó kockázati garanciái. Az internetes kereskedelem során az eladó számos kockázatnak van kitéve, amelyek az áru elutasításával és a vevő rosszhiszeműségével kapcsolatosak. A kockázatok nagyságáról külön megállapodások keretében kell megállapodni a fizetési rendszer szolgáltatójával és a kereskedelmi láncokban részt vevő más szervezetekkel.
7. A tranzakciós díjak minimalizálása. Az áruk rendeléséért és fizetéséért járó tranzakciófeldolgozási díjak természetesen benne vannak a költségükben, így a tranzakciós ár csökkentése növeli a versenyképességet. Fontos megjegyezni, hogy a tranzakciót mindenképpen meg kell fizetni, még akkor is, ha a vevő megtagadja a terméket.
Mindezeket a feltételeket végre kell hajtani az internetes fizetési rendszerben, amely lényegében a hagyományos fizetési rendszerek elektronikus változata.
Így minden fizetési rendszer a következőkre oszlik:
Terhelés (elektronikus csekkekkel és digitális készpénzzel való munka);
Hitel (hitelkártyákkal való munkavégzés).
Beszedési rendszerek
A terhelési fizetési rendszerek hasonlóak az offline prototípusaikhoz: csekk és normál készpénz. A rendszerben két független fél vesz részt: a kibocsátók és a felhasználók. A kibocsátó a fizetési rendszert kezelő jogalanyt jelenti. Néhány elektronikus egységet bocsát ki, amelyek fizetést képviselnek (például pénzt bankszámlákon).
A rendszerhasználóknak két fő funkciójuk van. Kifizetett elektronikus egységek segítségével fizetnek és fogadnak el fizetést az interneten.
Az elektronikus csekkek analógok a szokásos papírcsekkekkel. Ezek a megbízó utasításait a bankjának, hogy utaljon pénzt a számlájáról a kedvezményezett számlájára. A műveletre akkor kerül sor, amikor a címzett bemutatja a csekket a bankban. Két fő különbség van. Először is, a papíralapú csekk írásakor a fizető a valódi aláírását, az online változatban pedig az elektronikus aláírást helyezi el. Másodszor, a csekkeket elektronikus úton állítják ki.
A kifizetések feldolgozása több szakaszban történik:
1. A kifizető elektronikus csekket állít ki, aláírja elektronikus aláírással és elküldi a címzettnek. A nagyobb megbízhatóság és biztonság érdekében a folyószámla számát a bank nyilvános kulcsával lehet kódolni.
2. A csekket a fizetési rendszerbe történő fizetés céljából mutatják be. Továbbá (akár itt, akár a címzettet kiszolgáló bankban) ellenőrzik az elektronikus aláírást.
3. Hitelességének megerősítése esetén az árut leszállítják vagy a szolgáltatást teljesítik. A pénzt a kifizető számlájáról utalják át a kedvezményezett számlájára.
A fizetési rendszer egyszerűségét (43. ábra) sajnos ellensúlyozzák annak megvalósításának nehézségei, mivel a csekkrendszerek még nem terjedtek el, és nincsenek hitelesítő központok az elektronikus aláírások megvalósításához.
Az elektronikus digitális aláírások (EDS) nyilvános kulcsú titkosítási rendszert használnak. Ez létrehoz egy privát kulcsot az aláíráshoz és egy nyilvános kulcsot az ellenőrzéshez. A privát kulcsot a felhasználó őrzi, míg a nyilvános kulcshoz mindenki hozzáférhet. A nyilvános kulcsok terjesztésének legkényelmesebb módja a CA -k. A nyilvános kulcsot és a tulajdonos adatait tartalmazó digitális tanúsítványokat tárolja. Ez mentesíti a felhasználót a saját nyilvános kulcsa terjesztésének kötelezettsége alól. Ezenkívül a CA -k hitelesítést biztosítanak annak biztosítására, hogy senki ne tudjon kulcsokat generálni egy másik személy nevében.
Az elektronikus pénz teljesen szimulálja a valódi pénzt. Ugyanakkor a kibocsátó szervezet - a kibocsátó - kibocsátja elektronikus társait, amelyeket a különböző rendszerekben másképp neveznek (például kuponok). Ezt követően a felhasználók vásárolják meg őket, akik vásárlásuk kifizetésére használják őket, majd az eladó visszaváltja őket a kibocsátótól. Kibocsátáskor minden monetáris egységet elektronikus pecséttel hitelesítenek, amelyet a kibocsátó szervezet megváltás előtt ellenőriz.
A fizikai pénz egyik jellemzője a névtelensége, vagyis nincs feltüntetve, hogy ki és mikor használta fel. Egyes rendszerek analógia útján lehetővé teszik az ügyfél számára, hogy elektronikus készpénzt kapjon oly módon, hogy a közte és a pénz közötti kapcsolat nem határozható meg. Ez vak aláírási séma segítségével történik.
Érdemes megjegyezni azt is, hogy az elektronikus pénz használatakor nincs szükség hitelesítésre, mivel a rendszer a pénz felhasználás előtti forgalomba bocsátásán alapul.
A 44. ábra egy elektronikus pénzt használó fizetési sémát mutat be.
A fizetési mechanizmus a következő:
1. A vevő előre valódi pénzt cserél elektronikus pénzre. A készpénz tárolása az ügyfélnél kétféle módon történhet, amelyet az alkalmazott rendszer határoz meg:
A számítógép merevlemezén;
Az intelligens kártyákon.
A különböző rendszerek különböző csereprogramokat kínálnak. Egyesek speciális számlákat nyitnak, amelyekre elektronikus számlákért cserébe pénzt utalnak át a vevő számlájáról. Egyes bankok maguk is kibocsáthatnak elektronikus készpénzt. Ugyanakkor csak az ügyfél kérésére állítják ki, ezt követően továbbítják az ügyfél számítógépére vagy kártyájára, és a készpénz -egyenértéket visszavonják a számlájáról. A vak aláírás megvalósításakor a vevő maga készít elektronikus számlákat, elküldi azokat a banknak, ahol, amikor valódi pénz érkezik a számlára, lezárják és visszaküldik az ügyfélnek.
Az ilyen tárolás kényelme mellett hátrányai is vannak. A lemez vagy az intelligens kártya sérülése az elektronikus pénz visszafordíthatatlan elvesztésévé válik.
2. A vevő elektronikus pénzt utal át a vásárláshoz az eladó szerverére.
3. A pénzt bemutatják a kibocsátónak, aki ellenőrzi azok valódiságát.
4. Elektronikus számlák hitelessége esetén az eladó számláját megnövelik a vásárlás összegével, és az árut kiszállítják a vevőnek, vagy szolgáltatást nyújtanak.
Az elektronikus pénz egyik fontos megkülönböztető jellemzője a mikrofizetés lehetősége. Ennek oka az a tény, hogy a bankjegyek címlete nem felel meg a valódi érméknek (például 37 kopecks).
A bankok és a nem banki szervezetek egyaránt kibocsáthatnak elektronikus készpénzt. A különböző típusú elektronikus pénzek átváltására szolgáló egységes rendszert azonban még nem fejlesztették ki. Ezért csak maguk a kibocsátók válthatják be az általuk kibocsátott elektronikus készpénzt. Ezenkívül az állam nem garantálja a nem pénzügyi struktúrákból származó ilyen pénz felhasználását. A tranzakció alacsony költsége azonban vonzóvá teszi az e-cash-t az internetes fizetésekhez.
Hitelrendszerek
Az internetes hitelrendszerek hasonlóak a hagyományos hitelkártya -rendszerekhez. A különbség abban rejlik, hogy minden tranzakciót interneten keresztül bonyolítanak le, és ennek következtében további biztonsági és hitelesítési eszközökre van szükség.
Az alábbiak vesznek részt internetes fizetésben hitelkártyával:
1. Vevő. Ügyfél webböngészővel és internet -hozzáféréssel rendelkező számítógéppel.
2. Kibocsátó bank. A vevő folyószámlája itt található. A kibocsátó bank kártyákat bocsát ki, és garantálja az ügyfél pénzügyi kötelezettségeinek teljesítését.
3. Eladók. Az eladók az E-Commerce szerverei, amelyek áruk és szolgáltatások katalógusait vezetik, és elfogadják az ügyfelek vásárlási rendeléseit.
4. Bankok megszerzése. Az eladókat kiszolgáló bankok. Minden eladónak egyetlen bankja van, amelyben folyószámláját tartja.
5. Fizetési rendszer Internet. Elektronikus alkatrészek, amelyek közvetítők a többi résztvevő között.
6. Hagyományos fizetési rendszer. Pénzügyi és technológiai eszközök összessége az ilyen típusú kártyák kiszolgálásához. A fizetési rendszer által megoldott fő feladatok között szerepel a kártyák áruk és szolgáltatások fizetési eszközeként történő használatának biztosítása, banki szolgáltatások igénybevétele, kölcsönös elszámolások stb. A fizetési rendszer résztvevői magánszemélyek és jogi személyek, akiket a hitelkártyák használatára vonatkozó kapcsolatok egyesítenek.
7. A fizetési rendszer feldolgozó központja. Olyan szervezet, amely információt és technológiai interakciót biztosít a hagyományos fizetési rendszer résztvevői között.
8. A fizetési rendszer elszámoló bankja. Hitelszervezet, amely kölcsönös elszámolásokat végez a fizetési rendszer résztvevői között a feldolgozó központ nevében.
Az ilyen rendszerben a kifizetések általános sémáját a 45. ábra mutatja.
1. A vásárló az e-áruházban árukosarat képez, és a "hitelkártya" fizetési módot választja.
Az áruházon keresztül, vagyis a kártya paramétereit közvetlenül az áruház weboldalán kell megadni, ezt követően átkerülnek az internetes fizetési rendszerbe (2a);
A fizetési rendszer szerverén (2b).
A második út előnyei nyilvánvalóak.
Ebben az esetben a kártyákkal kapcsolatos információk nem maradnak az üzletben, és ennek megfelelően csökken annak kockázata, hogy harmadik felek megkapják azokat, vagy ha az eladó megtéveszt. Mindkét esetben a hitelkártyaadatok átvitelénél továbbra is fennáll annak a lehetősége, hogy a hálózaton lévő kiberbűnözők elfogják őket. Ennek elkerülése érdekében az adatokat titkosítják a szállítás során.
A titkosítás természetesen csökkenti a hálózaton lévő adatok elfogásának lehetőségét, ezért célszerű biztonságos protokollok használatával kommunikálni a vevő / eladó, eladó / internetes fizetési rendszer, vevő / internetes fizetési rendszer között. Ezek közül ma a leggyakoribb a Secure Sockets Layer (SSL) protokoll, valamint a Secure Electronic Transaction (SET) szabvány a biztonságos elektronikus tranzakciókhoz, amelyek célja az SSL helyettesítése az internetes hitelkártyás vásárlásokhoz kapcsolódó tranzakciók feldolgozásakor .
3. Az internetes fizetési rendszer továbbítja az engedélyezési kérelmet a hagyományos fizetési rendszerhez.
4. A következő lépés attól függ, hogy a kibocsátó bank vezet -e online számlaadatbázist (DB). Ha van adatbázis, a feldolgozóközpont a kártya engedélyezésére irányuló kérelmet küld a kibocsátó banknak (lásd a bevezetőt vagy a szótárat) (4a), majd (4b) megkapja annak eredményét. Ha nincs ilyen adatbázis, akkor a feldolgozó központ maga tárolja a kártyabirtokosok fiókjainak állapotáról, a stoplistákról és végrehajtja az engedélyezési kérelmeket. Ezt az információt a kibocsátó bankok rendszeresen frissítik.
Az áruház szolgáltatást nyújt, vagy kiszállítja az árut (8a);
A feldolgozó központ információt küld a befejezett tranzakcióról az elszámoló banknak (8b). A pénzt a vevő kibocsátó banknál vezetett számlájáról az elszámolóbankon keresztül utalják át az üzlet átvevő banknál vezetett számlájára.
Az ilyen kifizetésekhez a legtöbb esetben speciális szoftverre van szüksége.
El lehet küldeni egy vevőnek (e-pénztárcának), a kereskedőnek és az őt kiszolgáló banknak.
Előző25262728293031323334353637383940Következő
Életünkben az internet nemcsak kommunikációs, szórakoztató és kikapcsolódási eszköz, hanem a munka és az elektronikus fizetés is. Sokan közülünk internetes banki szolgáltatásokat használnak és online vásárolnak.
Az online banki rendszerek és az online áruházak biztonsága ellenére-ilyen védelmi módszereket használnak, mint kettős hitelesítés, egyszeri dinamikus SMS-jelszó rendszerek, az egyszeri jelszavak vagy hardverkulcsok további listája, SSL-védett kapcsolat stb. - a modern támadási módszerek lehetővé teszik a legmegbízhatóbb védelmi mechanizmusok megkerülését is.
Ma a kiberbűnözőknek három leggyakoribb módja van az internethasználók pénzügyi adatainak megtámadására:
- Az áldozat számítógépének megfertőzése olyan trójaiokkal (keyloggerek, képernyőnaplók stb.), Amelyek elfogják a bemeneti adatokat;
- a social engineering technikák használata - adathalász támadások e -mailben, webhelyeken, közösségi hálózatokon stb.
- technológiai támadások (szippantás, DNS / proxy szerver hamisítás, tanúsítványhamisítás stb.).
A felhasználónak nem szabad csak a bankra hagyatkoznia, hanem biztonsági programokat kell használnia az elektronikus fizetések biztonságának fokozására az interneten.
A modern Internet Security megoldások a víruskereső funkciókon kívül biztonságos fizetési eszközöket is kínálnak (izolált virtuális környezetek az online műveletekhez), valamint sebezhetőségi szkennert, webes védelmet linkellenőrzéssel, rosszindulatú szkriptek és előugró ablakok blokkolását, adatvédelem a lehallgatás ellen ( anti-keyloggers), virtuális billentyűzet ...
Az online fizetések védelmére külön funkcióval rendelkező átfogó megoldások közül kiemelhetjük a Kaspersky Internet Security -t és a Safe Money összetevőt, az avast!
Internet biztonság az avast segítségével! SafeZone és Bitdefender Internet Security a Bitdefender Safepay segítségével. Ezek a termékek lehetővé teszik, hogy ne aggódjon a további védelem miatt.
Ha más víruskeresővel rendelkezik, akkor alaposabban megvizsgálhatja a további védelmi eszközöket. Köztük: Bitdefender Safepay (elszigetelt webböngésző), Trusteer Rapport és HitmanPro. Riasztás a böngésző támadások elleni védelmére, Netcraft Extension bővítmények és alkalmazások, McAfee SiteAdvisor, Adguard az adathalászat elleni védelemhez.
Ne feledkezzen meg a tűzfalról és a VPN-ügyfélről, ha pénzügyi tranzakciókat kell végrehajtania, amikor nyilvános helyeken nyitott vezeték nélküli Wi-Fi-hálózatokhoz csatlakozik. Például a CyberGhost VPN 256 bites AES forgalom titkosítást használ, ami megakadályozza, hogy a támadó az adatok felhasználását használja, még akkor is, ha azokat elfogják.
Milyen módszereket használ az online fizetések védelmére? Ossza meg tapasztalatait megjegyzésekben.
A mai orosz gazdasági környezetben sokféle szervezet létezik. Ezek lehetnek állami vállalatok (FSUE, MUP), közpénzek és végül rendes kereskedelmi szervezetek. A fő különbség az utóbbi és az összes többi között az, hogy fő céljuk a profit maximalizálása, és minden tevékenységük pontosan erre irányul.
Egy kereskedelmi szervezet különböző módon kereshet pénzt, de a nyereséget mindig ugyanúgy határozzák meg - ez jövedelem mínusz költségek. Ugyanakkor, ha a biztonság nem a vállalat fő tevékenysége, akkor nem termel bevételt, és ha igen, akkor ahhoz, hogy ennek a tevékenységnek értelme legyen, csökkentenie kell a költségeket.
Az üzleti biztonság biztosításának gazdasági hatása a fenyegetésekből származó veszteségek minimalizálása vagy teljes kiküszöbölése. De azt is szem előtt kell tartani, hogy a védintézkedések végrehajtása pénzbe is kerül, és ezért a biztonságból származó valódi nyereség megegyezik a biztonsági fenyegetések végrehajtásával megtakarított pénzösszeggel, csökkentve a védintézkedések költségeivel.
Egyszer egy beszélgetés zajlott egy kereskedelmi bank tulajdonosa és szervezete biztonsági szolgálatának vezetője között a biztonság biztosításának gazdasági hatásáról. Ennek a beszélgetésnek a lényege a legpontosabban tükrözi a biztonság szerepét és helyét a szervezet életében:
A biztonság nem akadályozhatja az üzletet.
- De fizetnie kell a biztonságért, és fizetnie kell annak hiányáért.
Az ideális biztonsági rendszer az arany középút a semlegesített fenyegetések, a felhasznált erőforrások és az üzleti nyereségesség között.
A NIB létrehozásának okai különbözőek lehetnek. Emeljünk ki két főbbet:
A NIB alárendeltsége szempontjából az Orosz Föderáció Központi Bankjának fenti rendelkezéseiben csak egy korlátozás van - "Az információbiztonsági szolgálatnak és az informatizációs (automatizálási) szolgálatnak nem szabad közös kurátort létrehoznia. ", különben a választás szabadsága a szervezetnél marad. Tekintsük a tipikus lehetőségeket.
Asztal 1.
| Alárendeltség | Sajátosságok |
|---|---|
| NIB az IT részeként | 1. A védelem megszervezése csak külső betolakodó ellen lehetséges. A fő valószínű belső támadó az informatikai alkalmazott. Lehetetlen küzdeni ellene az IT részeként. 2. Az Oroszországi Bank követelményeinek megsértése. 3. Közvetlen párbeszéd az informatikával, az információbiztonsági rendszerek egyszerű megvalósítása |
| NIB a biztonsági szolgálat részeként | 1. Védelem mind a belső, mind a külső betolakodók tettei ellen. 2. A Security Service egyetlen interakciós pont a felső vezetés számára bármilyen biztonsági kérdésben. 3. Az informatikával való interakció összetettsége, mivel a kommunikáció az IT és a Biztonsági Tanács vezetőinek szintjén zajlik, és ez utóbbi általában minimális informatikai ismeretekkel rendelkezik. |
| A NIB beszámol az igazgatótanács elnökének | 1. A NIB maximális hatáskörrel és saját költségvetéssel rendelkezik. 2. Egy további ellenőrzési és interakciós pont jön létre az igazgatótanács elnöke számára, amely bizonyos figyelmet igényel. 3. Lehetséges biztonsági és információbiztonsági konfliktusok az incidensek kivizsgálásának illetékességi területei szerint. 4. Egy külön NIB "politikailag" kiegyensúlyozhatja a Biztonsági Tanács hatásköreit. |
A probléma az, hogy a semlegesített információbiztonsági fenyegetésekből megtakarított pénzmennyiséget nem lehet pontosan meghatározni. Ha a fenyegetés nem valósul meg, akkor nincs kár belőle, és mivel nincsenek problémák, akkor nincs szükség azok megoldására.
A probléma megoldásához az NIB kétféleképpen járhat el:
Emeljük ki a biztonság biztosításának gyakorlati aspektusait, amelyeket közölni kell a felső vezetéssel és más strukturális részlegekkel, és amelyeket figyelembe kell venni az információbiztonsági rendszer kiépítésekor is:
Az információbiztonság csak az egyik biztonsági terület (gazdasági biztonság, fizikai biztonság, tűzvédelem, ...). Az információbiztonsági fenyegetéseken kívül minden szervezet más, ugyanolyan fontos fenyegetéseknek van kitéve, például lopással, tüzekkel, gátlástalan ügyfelektől való csalással, a kötelező követelmények megsértésével (megfelelőséggel) való fenyegetések stb.
Végső soron a szervezetet nem érdekli, hogy milyen fenyegetésből származik a vesztesége, legyen az lopás, tűz vagy számítógépes feltörés. Fontos a veszteségek (károk) összege.
A károk nagysága mellett fontos tényező a fenyegetések felmérésében a megvalósítás valószínűsége, amely függ a szervezet üzleti folyamatainak jellemzőitől, infrastruktúrájától, külső káros tényezőitől és a megtett ellenintézkedéstől.
A károkat és a fenyegetés megvalósulásának valószínűségét figyelembe vevő jellemzőt kockázatnak nevezik.
Jegyzet. A kockázat tudományos meghatározása a GOST R 51897-2011 dokumentumból szerezhető be
A kockázatot mennyiségileg is mérhetjük, például a károkat valószínűséggel megszorozva, vagy minőségileg. Minőségi értékelést akkor végeznek, amikor sem a kár, sem a valószínűsége nincs számszerűsítve. A kockázat ebben az esetben értékcsoportként fejezhető ki, például kár - "átlagos", valószínűség - "magas".
Az összes fenyegetés kockázatként történő értékelése lehetővé teszi a szervezet számára, hogy hatékonyan használja fel a rendelkezésre álló erőforrásait, hogy pontosan semlegesítse azokat a fenyegetéseket, amelyek a legjelentősebbek és a legveszélyesebbek számára.
A kockázatkezelés a fő megközelítés az integrált, költséghatékony biztonsági rendszer kiépítéséhez a szervezet számára. Sőt, szinte minden banki szabályozás a Bázeli Bankfelügyeleti Bizottság kockázatkezelési ajánlásain alapul.
Emeljük ki a főbb veszélyeket, amelyek a banki készpénzes fizetéssel kapcsolatos tevékenységben rejlenek, és határozzuk meg a végrehajtásukból származó lehetséges legnagyobb kárt.
2. táblázat.
Itt az elemzett tevékenység egy sor üzleti folyamatot tartalmaz:
A fő fenyegetések mérlegelésekor felmértük kárukat, de nem vizsgáltuk azok megvalósításának valószínűségét. A tény az, hogy ha a lehetséges legnagyobb kár bármely bank esetében azonos, akkor a fenyegetések megvalósulásának valószínűsége bankonként eltérő, és az alkalmazott védőintézkedéseken múlik.
Az információbiztonsági fenyegetések megvalósításának valószínűségének csökkentésére irányuló egyik fő intézkedés a következő lesz:
A fő árnyalat, amelyet figyelembe kell venni az információbiztonsági kérdésekben, az, hogy az ilyen típusú tevékenységeket meglehetősen szigorúan szabályozza az állam és a Központi Bank. Függetlenül attól, hogyan értékelik a kockázatokat, bármennyire is kicsi a forrás a banknál, védelmének meg kell felelnie a megállapított követelményeknek. Ellenkező esetben nem fog működni.
Tekintsük az információbiztonság megszervezésének követelményeit, amelyeket az Orosz Bankkal folytatott levelező kapcsolatok üzleti folyamatára írnak elő.
3. táblázat.
Követelmények dokumentumok |
Büntetés a be nem tartásért |
|---|---|
| A személyes adatok védelme. Indok - a fizetési dokumentumok személyes adatokat tartalmaznak (a fizető / címzett teljes neve, címe, a személyazonosító okmány adatai) |
|
| Szövetségi törvény a személyes adatokról, 2006. július 27-én, 152-FZ |
, - akár 75 ezer rubel. bírság., - legfeljebb 2 év börtön |
| Az Orosz Föderáció kormányának 2012. november 1 -i rendelete 1119 sz. "A személyes adatok információs rendszerekben történő feldolgozásuk során a személyes adatok védelmére vonatkozó követelmények jóváhagyásáról" | |
| Az orosz FSTEC 2013. február 18 -i végzése, 21. sz. "A személyes adatok információs rendszereiben történő feldolgozásuk során a személyes adatok biztonságát biztosító szervezeti és technikai intézkedések összetételének és tartalmának jóváhagyásáról" (Bejegyezve a Minisztériumban Oroszország igazságszolgáltatása 2013.05.14. N 28375) | |
| Az orosz FSZB 2014. július 10 -i végzése, 378. sz. teljesíti az Orosz Föderáció kormánya által a személyes adatok védelmére vonatkozóan megállapított követelményeket. adatok mindegyik biztonsági szintre vonatkozóan "(Az Orosz Igazságügyi Minisztériumban regisztrált 2014. augusztus 18 -án, N 33620) | |
| A Bank of Russia 3889-U számú, 2015. december 10-i rendelete "A személyes adatok biztonságát fenyegető veszélyek meghatározásáról, amelyek relevánsak a személyes adatoknak a személyes adatok információs rendszereiben történő feldolgozása során" | |
| Az információ védelmének biztosítása a nemzeti fizetési rendszerben. Alap - a pénzátutalásokat végző hitelintézet a nemzeti fizetési rendszer része. |
|
| Szövetségi törvény "A nemzeti fizetési rendszerről", 2011. június 27-én kelt, 161-FZ | cikk 6. pontja. Az 1990. 02. 02 -i, a bankokról és a banki tevékenységekről szóló 395-1 számú szövetségi törvény 20. cikke - az engedély visszavonása |
| Az Orosz Föderáció kormányának 2012. június 13 -i rendelete, 584. sz. "A fizetési rendszerben lévő információk védelméről szóló rendelet jóváhagyásáról" | |
| Az Orosz Bank jegyzőkönyve, 2012. június 9. pénzátutaláskor " | |
| A Bank of Russia 552-P számú, 2016. augusztus 24-i rendelete "Az információvédelem követelményeiről az Oroszországi Bank fizetési rendszerében" | |
| Működési dokumentáció az SKZI SCAD Signature számára | |
| Az Orosz Föderáció kritikus információs infrastruktúrájának biztonságának biztosítása. Az alap a bank az Art. 8. pontja értelmében. 2 2017. július 26-án kelt ФЗ 187-ФЗ számú kritikus információs infrastruktúra tárgya |
|
| Szövetségi törvény, 2017. július 26, 187-FZ "Az Orosz Föderáció kritikus információs infrastruktúrájának biztonságáról" | - akár 8 év börtön |
| Az Orosz Föderáció kormányának 2018. 02. 08 -i állásfoglalása N 127 "Az Orosz Föderáció létfontosságú információs infrastruktúrájával kapcsolatos objektumok kategorizálására vonatkozó szabályok jóváhagyásáról, valamint az Orosz Föderáció kritikus információs infrastruktúrájának objektumainak jelentőségére és azok értékeire vonatkozó kritériummutatók listájáról" |
|
| Az Orosz FSTEC 2017. december 21 -i rendelete N 235 "Az Orosz Föderáció kritikus információs infrastruktúrájának jelentős objektumaira vonatkozó biztonsági rendszerek létrehozására vonatkozó követelmények jóváhagyásáról és azok működésének biztosításáról" (Az Oroszországi Igazságügyi Minisztérium nyilvántartásba vette) 2018. február 22 -én N 50118) | |
| Az Oroszországi FSTEC 2017. | |
| Az Orosz Föderáció elnökének 2017. december 22 -i rendelete N 620 "Az Orosz Föderáció információs erőforrásai elleni számítógépes támadások felderítésére, megelőzésére és kiküszöbölésére szolgáló állami rendszer javításáról" | |
| Az elektronikus üzenetek cseréjéről szóló megállapodás által meghatározott információvédelmi követelmények, amikor pénzeszközöket utalnak át az Orosz Bank Bank fizetési rendszerén belül. Alap - ezt a megállapodást minden hitelintézet megköti a fizetési dokumentumok elektronikus cseréjéhez az Orosz Bankkal. |
|
| Szabványos megállapodás az ES alkalmazásokkal történő cseréjéről. Az AWP KBR, UTA dokumentációja (használatuk követelményeit a megállapodás 3. függelékének 1. pontja tartalmazza) |
a megállapodás 9.5.4. pontja - a megállapodás egyoldalú felmondása az Orosz Bank kezdeményezésére. |
4. táblázat. 
Mint látjuk, a követelmények AVZ.1és AVZ.2 beszéljen arról, hogy mi legyen a vírusvédelem. Ezek a követelmények nem szabályozzák, hogyan kell pontosan beállítani, hogy melyik hálózati csomópontokra kell telepíteni (Az Orosz Bank jegyzőkönyve, 2014. 04. 24., N 49-T, azt javasolja a bankoknak, hogy munkaállomásukon, szervereiken és átjáróikon legyenek különböző gyártók víruskeresői).
Hasonló a helyzet a számítógépes hálózat szegmentálásával - ez követelmény ZIS.17... A dokumentum csak azt írja elő, hogy ezt a gyakorlatot védekezésre kell használni, de nem mondja meg, hogy a szervezetnek hogyan kell ezt tennie.
Az információbiztonsági eszközök specifikus konfigurálásának és a biztonsági mechanizmusok megvalósításának módját megtudhatja az információbiztonsági rendszer magán technikai specifikációjából, amelyet az információbiztonsági fenyegetések modellezésének eredményei alapján alakítottak ki. Címkék hozzáadása
A bankok információvédelmi rendszere nagyon különbözik más vállalatok és szervezetek hasonló stratégiáitól. Ennek oka elsősorban a fenyegetések sajátos jellege, valamint a bankok nyilvános tevékenysége, amelyek kénytelenek kellően egyszerűvé tenni a számlákhoz való hozzáférést az ügyfelek kényelme érdekében.
A számítástechnika fejlődésével és bővítésével egyre nagyobb a probléma a számítógépes rendszerek biztonságának biztosítása, valamint a bennük tárolt és feldolgozott információk különféle fenyegetésekkel szembeni védelmének problémája. Ennek számos objektív oka van.
A legfontosabb az automatizált információfeldolgozó rendszerek iránti bizalom növekedése. Őket bízzák meg a legfelelősségteljesebb munkával, amelynek minősége sok ember életét és jólétét meghatározza. A számítógépek irányítják a technológiai folyamatokat a vállalatoknál és az atomerőműveknél, a repülőgépek és vonatok mozgását, pénzügyi tranzakciókat hajtanak végre, minősített információkat dolgoznak fel.
Különféle lehetőségek állnak rendelkezésre az információk védelmére - a bejáratnál lévő biztonsági őrtől a matematikailag ellenőrzött módszerekig az adatok elrejtésére az ismerősök elől. Emellett beszélhetünk a globális védelemről és annak egyes vonatkozásairól: személyi számítógépek, hálózatok, adatbázisok stb.
Meg kell jegyezni, hogy nincsenek teljesen biztonságos rendszerek. A rendszer megbízhatóságáról először is csak bizonyos valószínűséggel beszélhetünk, másodszor pedig a jogsértők egy bizonyos kategóriája elleni védelemről. Mindazonáltal előre látható, hogy behatolnak a számítógépes rendszerbe. A védelem egyfajta verseny a védelem és a támadás között: az nyer, aki többet tud és hatékony intézkedéseket tesz.
A bank automatizált információfeldolgozó rendszerének védelmének megszervezése egyetlen intézkedéscsomag, amelynek figyelembe kell vennie az információfeldolgozási folyamat összes jellemzőjét. Annak ellenére, hogy a felhasználónak munka közben kellemetlenséget okoz, sok esetben védőfelszerelés feltétlenül szükséges lehet a rendszer normál működéséhez. A fentebb említett kellemetlenségek közé tartozik Yu.V. Gaikovich, A.S. Pershin. Az elektronikus banki rendszerek biztonsága.- M .: Egyesült Európa, 1994.- S. 33:
Nehéz elképzelni egy modern bankot automatizált információs rendszer nélkül. A számítógépek összekapcsolása egymással és az erősebb számítógépekkel, valamint más bankok számítógépeivel szintén szükséges feltétele a bank sikeres működésének - túl sok műveletet kell végrehajtani rövid időn belül .
Ugyanakkor az információs rendszerek a modern bank egyik legsérülékenyebb aspektusává válnak, és vonzzák a betolakodókat, mind a bank személyzetéből, mind kívülről. A banki információs rendszerekbe való beavatkozáshoz kapcsolódó bűncselekményekből származó veszteségekre vonatkozó becslések nagymértékben eltérnek. Számos számítási módszer befolyásolja őket. Az átlagos pénzlopás elektronikus alapok felhasználásával körülbelül 9 000 dollár, és az egyik legjelentősebb botrány 700 millió dollár eltulajdonítására irányul (First National Bank, Chicago).
Ezenkívül figyelembe kell venni nemcsak a közvetlen károk összegét, hanem a nagyon költséges intézkedéseket is, amelyeket a számítógépes rendszerekbe való sikeres betörési kísérletek után hajtanak végre. Tehát az egyik legszembetűnőbb példa a Bank of England titkos számláival végzett munkáról szóló adatok elvesztése 1999 januárjában. Ez a veszteség arra kényszerítette a bankot, hogy megváltoztassa az összes levelező számla kódját. E tekintetben az Egyesült Királyságban minden rendelkezésre álló hírszerző és elhárító erőt riasztottak annak érdekében, hogy megakadályozzák az esetleges információszivárgást, amely óriási károkat okozhat. A kormány rendkívüli intézkedéseket hozott annak biztosítására, hogy a kívülállók ne ismerjék azokat a számlákat és címeket, amelyekre a Bank of England naponta több száz milliárd dollárt küld. Sőt, az Egyesült Királyságban inkább attól a helyzettől tartottak, amelyben az adatok a külföldi titkosszolgálatok rendelkezésére állhatnak. Ebben az esetben a Bank of England teljes pénzügyi tudósítói hálója ki lett volna téve. A károkat néhány héten belül megszüntették.
Adzhiev V. Mítoszok a szoftver biztonságáról: tanulságok a híres katasztrófákból // Nyílt rendszerek.-1999. - 6. szám .-- C..21-24
A bankok által nyújtott szolgáltatások ma nagyrészt a bankok, bankok és ügyfeleik, valamint kereskedelmi partnereik közötti elektronikus interakciós eszközök használatán alapulnak. Jelenleg a banki szolgáltatásokhoz való hozzáférés különböző távoli helyekről vált lehetővé, beleértve az otthoni terminálokat és az irodai számítógépeket. Ez a tény arra kényszerít bennünket, hogy távolodjunk a „zárt ajtók” fogalmától, amely a 60 -as évek bankjaira volt jellemző, amikor a számítógépeket a legtöbb esetben kötegelt üzemmódban használták segédeszközként, és nem voltak kapcsolatban a külvilággal.
Az automatizálási berendezések szintje fontos szerepet játszik a bank tevékenységében, és ezért közvetlenül befolyásolja pozícióját és jövedelmét. A bankok közötti verseny erősödése azt eredményezi, hogy csökkenteni kell az elszámoláshoz szükséges időt, növelni kell a választékot és javítani kell a nyújtott szolgáltatások minőségét. Minél kevesebb időbe telik a bank és az ügyfelek közötti elszámolás, annál nagyobb lesz a bank forgalma, következésképpen a nyereség. Ezenkívül a bank gyorsabban tud reagálni a pénzügyi helyzet változásaira. A különféle banki szolgáltatások (mindenekelőtt arra utalnak, hogy a bank és ügyfelei műanyag kártyával nem készpénzben fizethetnek) jelentősen növelhetik ügyfeleik számát, és ennek következtében növelhetik a nyereséget.
A banki információbiztonságnak a következő konkrét tényezőket kell figyelembe vennie:
A bankszektorban elkövetett bűncselekményeknek is megvannak a sajátosságaik Gamza V.A. , Tkachuk I.B. Egy kereskedelmi bank biztonsága.- M ..: Egyesült Európa, 2000.- C..24:
A támadók általában saját fiókjaikat használják, amelyekre az ellopott összegeket átutalják. A legtöbb bűnöző nem tudja, hogyan „mossa” el az ellopott pénzt. A bűncselekmény elkövetésének ismerete és a pénzszerzés módja nem ugyanaz.
A legtöbb számítógépes bűncselekmény apró. Az általuk okozott kár 10 000 és 50 000 dollár között mozog.
A sikeres számítógépes bűncselekmények általában nagyszámú (akár több száz) banki tranzakciót igényelnek. Nagy összegek azonban csak néhány tranzakció során utalhatók át.
A legtöbb támadó hivatalnok. Bár a bank vezető személyzete is elkövethet bűncselekményeket, és sokkal nagyobb kárt okozhat a banknak, az ilyen esetek ritkák.
A számítógépes bűncselekmények nem mindig csúcstechnológiájúak. Elég hamisítani az adatokat, megváltoztatni az ASOIB környezet paramétereit stb., És ezek a műveletek a szervizszemélyzet számára is elérhetők.
Sok kiberbűnöző azzal magyarázza tetteit, hogy csak hitelt vesz fel egy banktól, későbbi hozammal. Általában azonban nincs „visszatérés”.
A bankok információit feldolgozó automatizált rendszerek védelmének sajátosságai az általuk megoldott feladatok sajátosságaiból adódnak:
Általános szabály, hogy az ASOIB nagy mennyiségű, folyamatosan érkező kérést dolgoz fel valós időben, amelyek mindegyikének feldolgozása nem igényel sok erőforrást, de együttesen csak egy nagy teljesítményű rendszerrel dolgozhatók fel;
Az ASOIB olyan bizalmas információkat tárol és dolgoz fel, amelyeket nem a nagyközönségnek szántak. Hamisítása vagy szivárgása súlyos (a bank vagy ügyfelei számára) következményekhez vezethet. Ezért az ASOIB arra van ítélve, hogy viszonylag zárt maradjon, meghatározott szoftverek irányítása alatt működjön, és nagy figyelmet fordítson biztonságuk biztosítására;
Az ASOIB másik jellemzője a szoftverek és hardverek megbízhatóságára vonatkozó fokozott követelmények. Emiatt sok modern ASOIB a számítógépek úgynevezett hibatűrő architektúrája felé fordul, amely lehetővé teszi az információk folyamatos feldolgozását még különböző hibák és meghibásodások esetén is.
Az ASOI bankok általi használata összefügg a rendszerek védelmének sajátosságaival, ezért a bankoknak nagyobb figyelmet kell fordítaniuk automatizált rendszereik védelmére.
Következtetések az első fejezetről:
A bankszektorban kezdetben probléma merült fel az információk bizalmas kezelésével, tárolásával és védelmével kapcsolatban. A banki intézmények adatbiztonsága fontos szerepet játszik az üzleti életben, mivel a versenytársakat és a bűnözőket mindig érdekli az ilyen információ, és mindent megtesz annak elérése érdekében. Az ilyen jellegű problémák elkerülése érdekében meg kell tanulnia banki adatainak védelmét. Ahhoz, hogy a banki információk védelme hatékony legyen, mindenekelőtt figyelembe kell venni az információszivárgás minden lehetséges módját. Nevezetesen: gondosan ellenőrizze az emberek adatait a személyzet kiválasztásakor, ellenőrizze életrajzi adataikat és korábbi munkahelyeit.
A banki és hitelintézetek által kezelt minden információ veszélyben van. Ezek egyszerre ügyfelek adatai és a bankok közvetlen munkájára vonatkozó adatok, adatbázisuk stb. Az a tény, hogy az ilyen információk hasznosak lehetnek mind a versenytársak, mind a bűnözői tevékenységet folytató személyek számára. Cselekedeteik, összehasonlítva a hardveres vírusok károsodásával vagy az operációs rendszer meghibásodásával kapcsolatos problémákkal, valóban hatalmas károkat okoznak az ilyen típusú szervezeteknek.
A banki kiszolgálók és a helyi hálózatok védelme a betolakodókkal szemben, valamint a vállalati anyagokhoz való jogosulatlan hozzáférés elengedhetetlen a mai erősen versenyképes társadalomban.
A banki intézmények rendszereinek információbiztonsága azért fontos, mert biztosítja a bankok ügyfeleivel kapcsolatos adatok bizalmas kezelését. A szervezetek napi biztonsági mentései csökkentik a kritikus információk teljes elvesztésének kockázatát. Ezenkívül módszereket dolgoztak ki az adatok védelmére az illetéktelen hozzáféréssel kapcsolatos fenyegetések ellen. Az ilyen jellegű információk kiszivároghatnak mind a kémszolgálatok, amelyeket kifejezetten a szervezetnek küldtek, mind az alkalmazottak munkájának eredményeként, akik hosszú ideig dolgoztak, és úgy döntöttek, hogy pénzt keresnek a bank információs tulajdonának eltulajdonításával. A biztonság a szakmájuk és szakembereik munkájának köszönhetően biztosított, akik ismerik a dolgukat.
Az ügyfélvédelem az egyik legfontosabb mutató, amely befolyásolja a bank egészének hírnevét, beleértve a szervezet jövedelmét is. Mivel csak a jó vélemények segítik a bankot abban, hogy magas színvonalú szolgáltatást érjen el, és felülmúlja versenytársait.
A banki információk eltulajdonításának egyik leggyakoribb módja a biztonsági mentés, a hordozón tárolt adatok kivonása vagy a hackelés szimulálása, de nem azzal a céllal, hogy ellopják az anyagi javakat, hanem hozzáférjenek a szerver információihoz. Mivel a biztonsági mentéseket általában szalagos meghajtókon tárolják külön helyeken, a rendeltetési helyre történő szállítás során biztonsági mentések készíthetők. Éppen ezért az ilyen munkára felvett alkalmazottakat gondosan ellenőrzik a különböző állami szerveken a meggyőződések, a múltbeli jogszabályi problémák, beleértve a magukról szolgáltatott információk megbízhatóságát illetően. Ezért ne becsülje le a banki információk eltulajdonításának ezt a lehetőségét, mert a világgyakorlat tele van ilyen esetekkel.
Például 2005 -ben eladásra bocsátották az Orosz Föderáció Központi Bankának ügyleteinek adatbázisát. Lehetséges, hogy ezek az információk éppen a bankrendszerek elégtelen biztonsága miatt szivárogtak ki a banki szervezeten kívül. Hasonló helyzet nem egyszer fordult elő az Amerikai Egyesült Államok világhírű cégeiben, amelyek információbiztonsága sokat szenvedett ettől.
Interjú a bank biztonsági szolgálatának vezetőjével:
Ezenkívül egy másik módja annak, hogy a rendszerből információszivárgás következhet be, a banki alkalmazottak, akik szívesen keresnek ezzel pénzt. Annak ellenére, hogy a legtöbb esetben a banki rendszerek információihoz való jogosulatlan hozzáférés csak az otthoni munkavégzés lehetősége érdekében történik, ezek az oka a bizalmas információk terjesztésének. Ezenkívül ez a banki szervezetek rendszereinek biztonsági politikájának közvetlen megsértése.
Azt is meg kell jegyezni, hogy bármely bank olyan embereket alkalmaz, akik jelentős jogosultsággal rendelkeznek az ilyen adatokhoz való hozzáféréshez. Ezek rendszerint rendszergazdák. Ez egyrészt termelési szükségszerűség, amely lehetővé teszi a hatósági feladatok ellátását, másrészt saját célra is felhasználhatják, és ugyanakkor képesek professzionálisan „lefedni a nyomukat”.
A banki információk védelme az illetéktelen hozzáférés ellen általában legalább 3 összetevőből áll. Ezen összetevők mindegyike hozzájárul a bankok biztonságának biztosításához azon a területen, ahol használják. Ez magában foglalja a fizikai hozzáférés elleni védelmet, a biztonsági mentéseket és a bennfentesek elleni védelmet.
Mivel a bankok különös figyelmet fordítanak a fizikai hozzáférésre, és megpróbálják teljesen kiküszöbölni az illetéktelen hozzáférés lehetőségét, speciális eszközöket és módszereket kell használniuk a fontos információk titkosítására és titkosítására. Mivel a bankok hasonló rendszerekkel és eszközökkel rendelkeznek az adatok védelmére, jobb kriptográfiai biztosítékokat használni. Segítenek a kereskedelmi információk megőrzésében, valamint csökkentik az ilyen helyzetek kockázatát. A legjobb, ha az információkat az átlátszó titkosítás elvével titkosítva tároljuk, ami segít csökkenteni az információk védelmének költségeit, és mentesít az adatok folyamatos visszafejtésének és titkosításának szükségességétől is.
Figyelembe véve azt a tényt, hogy a banki rendszerek minden adatát ténylegesen az ügyfelek pénzéből kellő figyelmet kell fordítani a biztonságukra. Az egyik módszer annak megállapítása, hogy vannak -e rossz szektorok a merevlemezen. A folyamat törlésének vagy felfüggesztésének funkciója fontos szerepet játszik a lemez kezdeti titkosításában, titkosításában, visszafejtésében és újrakódolásában. Ez az eljárás sokáig tart, és ezért minden hiba az információ teljes elvesztéséhez vezethet. A titkosítás és a rendszerkulcsok tárolásának legbiztonságosabb módja az intelligens kártyák vagy az USB -kulcsok.
Az információs rendszerek védelme hatékonyabbá válik nemcsak a streamerek, hanem a cserélhető merevlemezek, DVD-adathordozók és egyéb eszközök használatával is. Az információforrások fizikai behatolása elleni védekezési eszközök átfogó használata növeli annak esélyét annak biztonságára és sérthetetlenségére a versenytársak és a rosszindulatú személyek részéről.
Ebben a videóban megtudhatja, milyen lépéseket kell tennie:
Az információk ellopása alapvetően mobil adathordozók, különféle USB-eszközök, lemezmeghajtók, memóriakártyák és más mobil eszközök használatával történik. Ezért az egyik helyes megoldás az ilyen eszközök munkahelyi használatának megtiltása. Minden, ami szükséges, megtalálható a szervereken, és gondosan nyomon követik, hogy a banki környezetben honnan és honnan kerülnek át az információk. Ezenkívül szélsőséges esetekben csak a vállalat által vásárolt médiát lehet használni. Különleges korlátozásokat állíthat be annak megakadályozására, hogy a számítógép felismerje az idegen adathordozókat és memóriakártyákat.
Az információvédelem a banki szervezetek egyik legfontosabb feladata, amely szükséges a hatékony működéshez. A modern piac nagy lehetőségeket kínál e tervek megvalósítására. A számítógépek és portok blokkolása kritikus előfeltétele a rendszerek hatékonyabb biztosításának.
Nem szabad megfeledkezni arról, hogy az adatlopásban részt vevő személyek is ismerik a kereskedelmi információkat védő rendszereket, és szakemberek segítségével megkerülhetik azokat. Az ilyen kockázatok elkerülése érdekében folyamatosan dolgoznia kell a biztonság javításán, és meg kell próbálnia használni a fejlett védelmi rendszereket.
Azok a hallgatók, végzős hallgatók, fiatal tudósok, akik a tudásbázist használják tanulmányaik során és munkájuk során, nagyon hálásak lesznek Önnek.
közzétett http://www.allbest.ru/
Szövetségi állami oktatási költségvetési intézmény
felsőfokú szakmai végzettség
Pénzügyi Egyetem az Orosz Föderáció kormánya alatt
(Pénzügyi Egyetem)
Osztály" Számítástechnika és programozás"
absztrakt
Hés a téma: Információbiztonság a bankszektorban
Teljesített:
Faizulina
Viktória Igorevna
Bevezetés
Következtetés
1. melléklet
2. függelék
3. függelék
Bevezetés
Megalakulásuk óta a bankok változatlanul bűnügyi érdeklődést váltottak ki. És ez az érdeklődés nemcsak a pénzeszközök hitelintézetekben való tárolásához kapcsolódott, hanem ahhoz is, hogy sok ember, vállalat, szervezet, sőt egész állam pénzügyi és gazdasági tevékenységéről szóló fontos és gyakran titkos információk koncentrálódtak a bankokban. Jelenleg az elektronikus fizetések, műanyag kártyák, számítógépes hálózatok széles körű elterjedésének eredményeként mind a bankok, mind ügyfeleik pénzeszközei információs támadások tárgyává váltak. Bárki megpróbálhat lopni - csak egy számítógépre van szüksége, amely csatlakozik az internethez. Sőt, ehhez nem kell fizikailag belépni a bankba, akkor "dolgozhat" és több ezer kilométerre tőle. Ez a probléma a legsürgetőbb és a legkevésbé tanulmányozott. Ha a fizikai és klasszikus információbiztonság biztosításában régóta jól bevált megközelítéseket dolgoztak ki (bár itt is fejlődés folyik), akkor a számítástechnika gyakori radikális változásai kapcsán a bank automatizált információfeldolgozó rendszereinek biztonsági módszerei ( ASOIB) folyamatos frissítést igényel. Amint a gyakorlat azt mutatja, nincsenek bonyolult számítógépes rendszerek, amelyek nem tartalmaznak hibákat. És mivel a nagy ASOIB építésének ideológiája rendszeresen változik, a biztonsági rendszerekben talált hibák és "lyukak" kijavítása nem sokáig elegendő, mivel az új számítógépes rendszer új problémákat és új hibákat hoz létre, szükségessé teszi a biztonság újjáépítését rendszert új módon.
Véleményem szerint mindenkit érdekel a bankoknak megadott személyes adatainak bizalmas kezelése. Ennek alapján az esszé írása és a probléma tanulmányozása véleményem szerint nemcsak érdekes, hanem rendkívül hasznos is.
1. A bankok információbiztonságának jellemzői
A banki információk mindig is mindenfajta betolakodó érdeklődésének tárgyát képezték. Bármilyen banki bűncselekmény információszivárgással kezdődik. Az automatizált bankrendszerek az ilyen szivárgások csatornái. Az automatizált banki rendszerek (ABS) bevezetésének kezdetétől kezdve bűnözői támadások tárgyává váltak.
Például ismert, hogy 1995 augusztusában Nagy-Britanniában letartóztatták Vlagyimir Levint, a 24 éves orosz matematikust, akinek a szentpétervári otthoni számítógépét használva sikerült behatolnia az egyik legnagyobb amerikai bank bankrendszerébe. , Citibank, és megpróbált nagy összegeket kivonni a számlájáról. A Citibank moszkvai irodája szerint addig senkinek sem sikerült. A Citibank biztonsági szolgálata megtudta, hogy 2,8 millió dollárt próbáltak ellopni a banktól, de az ellenőrző rendszerek ezt időben felfedezték és letiltották a számlákat. Csak 400 ezer dollárt sikerült ellopniuk. Az "Interfax" ügynökség anyagai. 1995-2009 ...
Az Egyesült Államokban a szakértők szerint 0,3-5 milliárd dollár a bankintézetek által a számítógépes információk jogellenes felhasználásából származó éves veszteségek összege. Az információ a banki biztonság általános problémájának egyik aspektusa.
E tekintetben a bankok információbiztonsági stratégiája nagyon különbözik más vállalatok és szervezetek hasonló stratégiáitól. Ennek oka elsősorban a fenyegetések sajátos jellege, valamint a bankok nyilvános tevékenysége, amelyek kénytelenek kellően egyszerűvé tenni a számlákhoz való hozzáférést az ügyfelek kényelme érdekében.
Egy közönséges vállalat az információbiztonságát csak a lehetséges fenyegetések szűk körére építi - főként az információk védelmére a versenytársakkal szemben (az orosz valóságban a fő feladat az, hogy megvédje az információkat az adóhatóságoktól és a bűnözői közösségektől annak érdekében, hogy csökkentse az ellenőrizetlen irányítás valószínűségét) az adófizetések és a raketta növelése). Az ilyen információk csak az érdekelt személyek és szervezetek szűk körét érdeklik, és ritkán likvidek, azaz pénzre alakítható.
A banki információbiztonságnak a következő konkrét tényezőket kell figyelembe vennie:
1. A banki rendszerekben tárolt és feldolgozott információ valódi pénz. A számítógép információi alapján lehet fizetni, hiteleket nyitni, jelentős összegeket átutalni. Teljesen érthető, hogy az ilyen információk illegális manipulálása komoly veszteségeket okozhat. Ez a funkció drámaian kibővíti a bankokat behatoló bűnözők körét (ellentétben például az ipari vállalatokkal, amelyek belső információi senkit sem érdekelnek).
2. A banki rendszerekben lévő információk sok ember és szervezet - a bank ügyfelei - érdekeit érintik. Általában bizalmas, és a bank felelős az ügyfelek számára szükséges titoktartás fenntartásáért. Az ügyfeleknek természetesen joguk van elvárni, hogy a bank vigyázzon az érdekeikre, ellenkező esetben a hírnevét kockáztatja az összes következménnyel.
3. A bank versenyképessége attól függ, hogy az ügyfél számára mennyire kényelmes a bankkal való együttműködés, valamint a nyújtott szolgáltatások széles körétől, beleértve a távoli hozzáféréssel kapcsolatos szolgáltatásokat is. Ezért az ügyfélnek képesnek kell lennie arra, hogy gyorsan és unalmas eljárások nélkül kezelje pénzét. A pénzhez való könnyű hozzáférés azonban növeli annak valószínűségét, hogy a banki rendszerekbe bűnözik.
4. A bank információbiztonságának (a legtöbb vállalattal ellentétben) vészhelyzet esetén is biztosítania kell a számítógépes rendszerek magas megbízhatóságát, mivel a bank nemcsak saját forrásaiért, hanem az ügyfelek pénzéért is felelős.
5. A bank fontos információkat tárol ügyfeleiről, ami bővíti az ilyen információk ellopásában vagy károsításában érdekelt potenciális betolakodók körét.
Sajnos manapság a technológia magas fejlettsége miatt még a munka szigorú bizalmas információkkal történő racionalizálását célzó rendkívül szigorú szervezeti intézkedések sem védenek meg a fizikai csatornákon való kiszivárgás ellen. Ezért az információvédelem szisztematikus megközelítése megköveteli, hogy a bank által az információbiztonság (szervezeti, fizikai és szoftver-technikai) biztosítására használt eszközöket és intézkedéseket egymással összefüggő, egymást kiegészítő és kölcsönhatásban álló intézkedések egyetlen csoportjának kell tekinteni. Egy ilyen komplexumnak nemcsak az információk védelmét kell céloznia az illetéktelen hozzáféréstől, hanem az információk véletlen megsemmisítésének, megváltoztatásának vagy nyilvánosságra hozatalának megakadályozását is. 2. rész Preobrazhensky N.B. Kiadó: ATiSO, 2008.
2. Az emberi biztonság az információbiztonság biztosításában
A bűncselekményeket, beleértve az információs szférát is, emberek követik el. A legtöbb rendszer nem tud normálisan működni emberi beavatkozás nélkül. A rendszer felhasználója egyrészt a szükséges eleme, másrészt ő a jogsértés vagy bűncselekmény oka és hajtóereje. A rendszerek biztonsági kérdései (beleértve a számítógépeseket is) tehát nagyrészt az emberi kapcsolatok és az emberi viselkedés kérdései. Ez különösen igaz az információbiztonság területén, hiszen információszivárgás az esetek túlnyomó többségében a banki alkalmazottak hibájából következik be V.A.Krysin. Üzleti biztonság. - M: Pénzügy és statisztika, 2008.
A biztonsági jogsértések elemzésekor nagy figyelmet kell fordítani nemcsak magára a tényre (vagyis a jogsértés tárgyára), hanem a jogsértő személyére, vagyis a jogsértés tárgyára is. Ez a figyelem segít megérteni az indítékokat, és talán lehetővé teszi, hogy elkerüljük az ilyen helyzetek ismétlődését a jövőben.
Az ilyen elemzés értéke annak is köszönhető, hogy az ok nélkül elkövetett bűncselekmények (ha nem gondatlanságról beszélünk) nagyon -nagyon ritkák.
Miután megvizsgálta a bűncselekmények vagy jogsértések okát, vagy befolyásolhatja az okot (ha lehetséges), vagy a védelmi rendszert pontosan az ilyen típusú bűncselekményekre vagy jogsértésekre irányíthatja.
Először is, bárki is a jogsértés forrása, bármi legyen is az, minden jogsértőnek van egy közös vonása - a rendszerhez való hozzáférés. A hozzáférés a rendszer különböző részeire, a hálózaton keresztül eltérő lehet, különböző jogokkal, de így kell lennie.
2.1 A bank információbiztonságát fenyegető veszélyek a személyzet részéről
A Datapro Information Services Group adatai szerint a jogsértések 81,7% -át a szervezet saját alkalmazottai követik el, akik hozzáférnek a rendszeréhez, és csak 17,3% -át követik el kívülállók (1% -uk véletlenül). Más adatok szerint a fizikai megsemmisítés a jogsértések (tűz, árvíz, károk) mintegy 25% -át teszi ki, és csak 1-2% -a jogosulatlan személyek általi megsértés. Így az összes bűncselekmény 73-74% -a az alkalmazottak részarányán marad. A számoktól eltérően mindkét tanulmány eredményei egy dolgot jeleznek: a jogsértések fő forrása magában az ASOIB -ban van. És ebből a következtetés is egyértelmű: nem mindegy, hogy az ASOIB -nak vannak -e kapcsolatai a külvilággal, és van -e külső védelem, de a belső védelemnek kötelezőnek kell lennie.
A jogsértéseknek négy fő oka van: felelőtlenség, önbizalom, bosszú és az ASOIB felhasználóinak (személyzetének) önző érdeke.
Felelőtlenségből eredő jogsértések esetén a felhasználó szándékosan vagy véletlenül hajt végre olyan romboló műveleteket, amelyek nem kapcsolódnak rosszindulatú szándékhoz. A legtöbb esetben ennek oka a hozzá nem értés vagy a gondatlanság. Nem valószínű, hogy a biztonsági tervezők előre láthatnák ezeket a helyzeteket. Ezenkívül sok esetben a rendszer alapvetően nem képes megakadályozni az ilyen jogsértéseket (például saját adatkészletének véletlen megsemmisítését). Néha a megfelelő biztonságos környezet fenntartásában elkövetett hibák ösztönözhetik az ilyen jellegű jogsértéseket. Még a legjobb védelmi rendszer is veszélybe kerül, ha rosszul van konfigurálva. A felhasználók felkészületlensége a védelmi intézkedések pontos betartására, ez a körülmény pedig sebezhetővé teheti a rendszert az ilyen típusú jogsértésekkel szemben.
Egyes felhasználók nagy sikernek tartják a rendszer-adatkészletekhez való hozzáférést, és egyfajta felhasználó-rendszer játékot játszanak az önérvényesítés érdekében, akár saját, akár kollégáik szemében. Bár a szándék ártalmatlan lehet, az ASOIB erőforrások kiaknázása a biztonsági politika megsértésének minősül. A komolyabb szándékú felhasználók bizalmas adatokat találhatnak, megpróbálhatják elrontani vagy megsemmisíteni azokat. Ezt a fajta jogsértést rendszervizsgálatnak nevezik. A legtöbb rendszer számos eszközzel rendelkezik az ilyen "csínytevések" ellensúlyozására. Szükség esetén a védelmi rendszergazda ideiglenesen vagy véglegesen használja őket.
Az ASOIB biztonság megsértését a rendszerhasználó önző érdeke is okozhatja. Ebben az esetben szándékosan megpróbálja leküzdeni a biztonsági rendszert, hogy hozzáférjen az ASOIB -ban tárolt, továbbított és feldolgozott információkhoz. Még akkor is, ha az ASOIB rendelkezik olyan eszközökkel, amelyek rendkívül megnehezítik az ilyen behatolást, szinte lehetetlen teljesen megvédeni a behatolástól. Bárki, aki sikeresen behatolt, nagyon képzett és veszélyes. A behatolás a legveszélyesebb szabálysértési típus, azonban rendkívül ritka, mivel rendkívüli készségeket és kitartást igényel.
Amint a gyakorlat azt mutatja, az egyes típusú jogsértésekből származó károk fordítottan arányosak gyakoriságukkal: leggyakrabban a gondatlanságból és felelőtlenségből eredő jogsértések vannak, általában a belőlük származó kár jelentéktelen és könnyen megtéríthető. Például egy véletlenül megsemmisített adatkészlet helyreállítható, ha azonnal hibát észlel. Ha az információ fontos, akkor rendszeresen frissített biztonsági mentést kell készíteni, akkor a kár általában szinte láthatatlan.
Így a megbízható védelem megszervezése érdekében világosan meg kell érteni, hogy mely jogsértések a legfontosabbak megszabadulni. A gondatlanságból eredő jogsértések elleni védelemhez minimális védelemre van szükség, hogy megvédjük a rendszer szondázásától - a legkeményebb és legszigorúbb, valamint az állandó ellenőrzés mellett - a behatolástól. Az ilyen intézkedések célja egy kell, hogy legyen - az ASOIB általános működésének és különösen védelmi rendszerének biztosítása.
A jogsértések megelőzésének módjai az ösztönzők jellegéből fakadnak - a felhasználók megfelelő képzése, az egészséges munkakörnyezet fenntartása a csapatban, személyzet toborzása, a potenciális betolakodók időben történő felderítése és a megfelelő intézkedések megtétele. Az első a rendszer adminisztrációjának feladata, a második a pszichológusé és az egész csapaté. Csak ezeknek az intézkedéseknek a kombinációja esetén lehetséges a jogsértések kijavítása és a bűncselekmények kivizsgálása, hanem az okuk megelőzése.
A betolakodó modelljének megalkotásakor és a személyzeti intézkedésekből eredő veszteségek kockázatának felmérésekor meg kell különböztetni az összes alkalmazottat a rendszerhez való hozzáférési képességük, és ezért a lehetséges károk szerint. Például egy automatizált bankrendszer üzemeltetője vagy programozója összehasonlíthatatlanul több kárt okozhat, mint egy átlagos felhasználó, annál inkább laikus.
2.2 Az emberi erőforrások politikája az információbiztonság szempontjából
A legújabb gyakorlat azt mutatja, hogy a különböző típusú bűncselekmények és bűncselekmények, különböző mértékűek, következményekkel és jelentőséggel, így vagy úgy kapcsolódnak a kereskedelmi struktúrák alkalmazottainak konkrét cselekedeteihez. E tekintetben helyénvalónak és szükségesnek tűnik e létesítmények gazdasági biztonságának növelése érdekében, hogy nagyobb figyelmet fordítsanak a személyzet kiválasztására és tanulmányozására, a megkérdőjelezhető viselkedésükre és a kompromittáló kapcsolatokra utaló információk ellenőrzésére. A szerződéseknek világosan fel kell tüntetniük a kereskedelmi vállalkozások alkalmazottainak minden kategóriájának személyes funkcionális felelősségét, és a belső megrendelésekben és megrendelésekben meglévő orosz jogszabályok alapján meg kell határozniuk a felelősségüket a szabálysértést jelentő információk nyilvánosságra hozatalával vagy kiszivárogtatásával kapcsolatos bármilyen jogsértésért. kereskedelmi titok.
Ezenkívül e tekintetben tanácsos megjegyezni, hogy a vezető moszkvai kereskedelmi bankok egyre gyakrabban vezetik be a „bizalmas” bélyeget hivatalos dokumentumaikba, és különböző béremelést osztanak ki személyzetük megfelelő kategóriái számára.
Ha objektíven felmérjük a személyzet kiválasztásának jelenlegi eljárásait, kiderül, hogy sok bankban sajnos elsősorban a hangsúlyt kell fektetni arra, hogy csak az állásra jelentkezők szakmai felkészültségét állapítsuk meg, amelyet gyakran a hagyományos formai kritériumok határoznak meg: oktatás; kisülés; szakterületen szerzett munkatapasztalat. Az ilyen bankokban, nagyon korlátozott létszámmal, a hétköznapi előadók munkaterületeinek egyre gyakoribb kombinálásával, valamint az információ- és menedzsmentcsapatok gyorsan növekvő áramlásával, minden alkalmazott egyre inkább bizalmas információk hordozójává válik. mind a versenytársak, mind a bűnözők.
A jelenlegi orosz jogszabályok keretein belül a munkára jelentkezőkről a lehető legtöbb információ megszerzése, a benyújtott dokumentumok alapos ellenőrzése, mind a hivatalos, mind az operatív képességek révén, beleértve a bank vagy magánnyomozói ügynökség biztonsági szolgáltatásait, a releváns jelöltek számára gyűjtött információk elemzése;
Ellenőrző intézkedések végrehajtása az állásra jelentkezőkkel, hozzátartozóikkal, volt kollégáikkal, közeli munkatársaikkal kapcsolatban azokban az esetekben, amikor a vezető tisztségekbe való felvételük vagy az üzleti titkot képező információkhoz való hozzáférés kérdését vizsgálják;
A modern módszerek, különösen az interjúk és a tesztek alkalmazása az állásjelöltek pszichológiai portréjának létrehozásához, amely lehetővé tenné a fő karakter vonásainak magabiztos megítélését és előre látható előrejelzését különböző extrém helyzetekben; személyzeti fizetés
Értékelés modern pszichológiai módszerek alkalmazásával különböző és különböző tényezőkből, amelyek megakadályozhatják a jelöltek munkába bocsátását vagy bizonyos pozíciókban való alkalmazását;
Egy bizonyos próbaidő meghatározása a kereskedelmi struktúrákban dolgozó jelöltek számára az üzleti és személyes tulajdonságok, valamint egyéb tényezők további ellenőrzése és azonosítása érdekében, amelyek akadályozhatják a pozícióba való felvételüket;
Bevezetés a személyzet rendszeres és váratlan átfogó ellenőrzésének gyakorlatába, többek között a biztonsági szolgálatok képességei révén;
A személyzeti munka kurátorának kiválasztása a kereskedelmi struktúrák első vezetői közül, hogy figyelemmel kísérje a személyzeti osztályok és a biztonsági szolgálatok tevékenységét a személyzettel való munka során.
Arra lehet következtetni, hogy az orosz vállalkozók egyre inkább megváltoztatják az „emberi tényező” iránti hozzáállásukat, és modern módszereket alkalmaznak a személyzeti osztályon és a biztonsági szolgálatokon dolgozó személyzettel. Nyilvánvaló, hogy ezen a területen a további fejlődés összefügg a pszichoanalízis, a pszichológia és a menedzsment etika, a konfliktuskezelés és számos más tudomány jelentős lehetőségeinek aktív felhasználásával, valamint az érintett szakemberek teljesebb integrációjával a kereskedelmi vállalkozásokhoz.
3. A bankok automatizált információfeldolgozó rendszereinek biztonsága (ASOIB)
Nem túlzás azt állítani, hogy az ASOIB működésének különböző célokra való szándékos megszakítása jelenleg az egyik legsürgetőbb probléma. Ez az állítás leginkább a fejlett információs infrastruktúrával rendelkező országokra igaz, ezt meggyőzően bizonyítják az alábbi számok: Gaikovich Yu.V., Pershin A.S. Az elektronikus banki rendszerek biztonsága. - M: Egyesült Európa, 2008.
Ismeretes, hogy 1992 -ben a számítógépes bűncselekményekből származó kár 555 millió dollár, 930 év munkaidő és 15,3 év számítógépes idő volt. Más adatok szerint a pénzügyi szervezeteknek okozott kár évi 173 millió dollár és 41 milliárd dollár között mozog. Demin V.S. és más automatizált banki rendszerek. - M: Menatep-Inform, 2009. ...
Ebből a példából azt a következtetést vonhatjuk le, hogy az információfeldolgozó és védelmi rendszerek tükrözik a számítógépes hálózat hagyományos megközelítését, mint potenciálisan megbízhatatlan adatátviteli eszközt. A szoftver- és hardverkörnyezet biztonságának biztosítására számos fő módszer létezik, különféle módszerekkel:
1.1. Felhasználói profilok létrehozása. Mindegyik csomópont létrehoz egy adatbázist a felhasználókról, jelszavaikról és a számítási rendszer helyi erőforrásaihoz való hozzáférési profilokról.
1.2. Folyamatprofilok létrehozása. A hitelesítési feladatot egy független (harmadik féltől származó) szerver végzi, amely jelszavakat tartalmaz mind a felhasználók, mind a végszerverek számára (szervercsoport esetén a jelszóadatbázis is csak egy (fő) hitelesítési szervert tartalmaz; a többi csak rendszeresen frissített példányok) ... Így a hálózati szolgáltatások használatához két jelszó szükséges (bár a felhasználónak csak egyet kell tudnia - a másodikat a szerver biztosítja neki "átlátható" módon). Nyilvánvaló, hogy a szerver az egész rendszer szűk keresztmetszetévé válik, és a feltörése veszélyeztetheti a teljes számítógépes hálózat biztonságát.
2. A továbbított információk beágyazása speciális csereprotokollokba. Az ilyen módszerek használata a kommunikációban nyilvános kulcsú titkosítási algoritmusokon alapul. Az inicializálás szakaszában létrejön egy pár kulcs - nyilvános és privát, csak a nyilvános kulcsot közzétevő személy számára. A nyilvános kulcsú titkosítási algoritmusok lényege, hogy a titkosítási és visszafejtési műveleteket különböző kulcsokkal (nyilvános és privát) hajtják végre.
3. Az információáramlás korlátozása. Ezek a helyi hálózatok ismert alhálózatokra való felosztására és az ezen alhálózatok közötti információátvitel szabályozására és korlátozására ismert módszerek.
3.1. Tűzfalak A módszer speciális közbenső szervereket hoz létre a bank helyi hálózata és más hálózatok között, amelyek megvizsgálják, elemzik és szűrik a rajtuk áthaladó összes adatáramlást (hálózati / szállítási réteg forgalma). Ez drámaian csökkentheti a kívülről a vállalati hálózatokhoz való jogosulatlan hozzáférés veszélyét, de egyáltalán nem szünteti meg ezt a veszélyt. A módszer biztonságosabb változata a maszkolás, amikor a helyi hálózatból származó összes forgalmat a tűzfalszerver nevében küldik el, ami gyakorlatilag láthatatlanná teszi a zárt helyi hálózatot.
3.2. Proxy-szerverek. Ezzel a módszerrel szigorú korlátozásokat írnak elő a hálózaton történő információtovábbítás szabályaira: a hálózati és szállítási réteg forgalma a helyi és a globális hálózatok között teljesen tilos - egyszerűen nincs útválasztás, és a helyi hálózatról a globális egy speciális közvetítő szervereken keresztül történik. Nyilvánvaló, hogy ezzel a módszerrel a globális hálózatról a helyi hálózatra irányuló hívások elvileg lehetetlenné válnak. Az is nyilvánvaló, hogy ez a módszer nem nyújt megfelelő védelmet a magasabb szintű támadások ellen, például egy szoftver alkalmazás szintjén.
4. Virtuális magánhálózatok (VPN) létrehozása lehetővé teszi, hogy hatékonyan biztosítsa az információk bizalmasságát, védelmét a lehallgatás vagy az adatátvitel során fellépő interferencia ellen. Lehetővé teszik titkos, biztonságos kommunikáció létrehozását nyílt hálózaton, amely általában az Internet, és kiterjesztik a vállalati hálózatok határait távoli irodákra, mobil felhasználókra, otthoni felhasználókra és üzleti partnerekre. A titkosítási technológia kiküszöböli a VPN -en keresztül továbbított üzenetek jogosult címzettjeitől eltérő személyek lehallgatásának vagy olvasásának lehetőségét, ha fejlett matematikai algoritmusokat alkalmaz az üzenetek és mellékleteik titkosítására. A Cisco VPN 3000 sorozatú koncentrátorok széles körben elismertek a kategóriájában a legjobb távoli hozzáférésű VPN-megoldásként. Cisco VPN 3000 koncentrátorok a legfejlettebb képességekkel, nagy megbízhatósággal és egyedülálló célirányos architektúrával. Lehetővé teszi a vállalatok számára, hogy nagy teljesítményű, skálázható és hatékony VPN-infrastruktúrákat építsenek ki a küldetés-kritikus távoli hozzáférési alkalmazások támogatására. A VPN -ekre optimalizált Cisco útválasztók, mint például a Cisco 800, 1700, 2600, 3600, 7100 és 7200 útválasztók, ideális eszközök VPN -k építéséhez webhelyről webhelyre.
5. A behatolásjelző rendszerek és a sebezhetőségi szkennerek további hálózati biztonsági réteget hoznak létre. Bár a tűzfalak engedélyezik vagy késleltetik a forgalmat a forrás, a cél, a port vagy más kritériumok alapján, valójában nem elemzik a forgalmat támadások szempontjából, és nem keresik a rendszer sebezhetőségét. Ezenkívül a tűzfalak általában nem foglalkoznak a "bennfentesek" belső fenyegetéseivel. A Cisco behatolásérzékelő rendszer (IDS) valós időben védi a kerületi hálózatot, az üzleti partnerhálózatokat és az egyre sérülékenyebb belső hálózatokat. A rendszer ügynököket, amelyek nagy teljesítményű hálózati eszközök, elemzi az egyes csomagokat a gyanús tevékenység észlelése érdekében. Ha jogosulatlan tevékenység vagy hálózati támadás történik a hálózat adatfolyamában, az ügynökök valós időben észlelhetik a jogsértést, riasztásokat küldhetnek a rendszergazdának, és blokkolhatják a betolakodó hozzáférését a hálózathoz. A hálózati behatolásjelző eszközök mellett a Cisco olyan kiszolgálóalapú behatolásérzékelő rendszereket is kínál, amelyek hatékony védelmet nyújtanak a felhasználó hálózatán lévő bizonyos szervernek, elsősorban a WEB- és az e-kereskedelmi szervernek. A Cisco Secure Scanner egy ipari minőségű szoftverolvasó, amely lehetővé teszi a rendszergazda számára, hogy azonosítsa és kijavítsa a hálózati biztonsági réseket, mielőtt a hackerek megtalálják őket.
Ahogy a hálózatok növekednek és összetettebbé válnak, kiemelt fontosságúvá válik, hogy a biztonsági elemek kezeléséhez központosított biztonságpolitikai ellenőrzésekre van szükség. A biztonsági házirendek azonosítására, kezelésére és ellenőrzésére szolgáló intelligens eszközök javítják a hálózati biztonsági megoldások használhatóságát és hatékonyságát. A Cisco megoldások ezen a területen stratégiai megközelítést alkalmaznak a biztonságkezelésben. A Cisco Secure Policy Manager (CSPM) támogatja a vállalati hálózatok Cisco biztonsági elemeit a biztonsági irányelvek átfogó és következetes végrehajtásával. A CSPM segítségével az ügyfelek több száz Cisco Secure PIX és Cisco IOS Firewall Feature Set tűzfal- és IDS -ügynök -biztonsági biztonsági házirendet határozhatnak meg, hajthatnak végre és érvényesíthetnek. A CSPM támogatja az IPsec szabványt a VPN -k építéséhez. Ezenkívül a CSPM a széles körben elterjedt CiscoWorks2000 / VMS vállalatirányítási rendszer része.
A fenti módszereket összefoglalva elmondhatjuk, hogy az információs rendszerek kifejlesztéséhez szükség van az információk továbbítására és védelmére szolgáló technológiák párhuzamos fejlesztésére. Ezeknek a technológiáknak biztosítaniuk kell az átvitt információk védelmét, "megbízhatóvá" téve a hálózatot, bár a megbízhatóságot a jelenlegi szakaszban nem fizikai szinten, hanem inkább logikai (információs) szinten értjük megbízhatóságként.
Ezenkívül számos további tevékenység is megvalósítja a következő elveket:
1. Folyamatok nyomon követése. A folyamatok nyomon követésének módja a rendszer speciális kiterjesztésének létrehozása, amely folyamatosan végez bizonyos típusú ellenőrzéseket. Nyilvánvaló, hogy egy bizonyos rendszer csak akkor válik külsőleg sebezhetővé, ha lehetőséget biztosít információforrásaihoz való külső hozzáférésre. Az ilyen hozzáférés eszközeinek (szerverfolyamatok) létrehozásakor általában elegendő mennyiségű a priori információ áll rendelkezésre az ügyfélfolyamatok viselkedésével kapcsolatban. Sajnos a legtöbb esetben ezeket az információkat egyszerűen figyelmen kívül hagyják. Miután a külső folyamatot hitelesítették a rendszerben, az egész életciklusa alatt jogosultnak tekintik bizonyos mennyiségű információs erőforrás elérését minden további ellenőrzés nélkül.
Bár a legtöbb esetben nem lehet feltüntetni minden szabályt egy külső folyamat viselkedésére vonatkozóan, meglehetősen reális a tagadás útján történő meghatározásuk, vagy más szóval annak jelezése, hogy a külső folyamat semmilyen körülmények között nem tehető meg. Ezen ellenőrzések alapján figyelemmel kísérhetők a veszélyes vagy gyanús események. Például az alábbi ábrán megfigyelési elemek és észlelt események láthatók: DOS támadás; jelszó gépelési hiba a felhasználó részéről; túlterhelés a kommunikációs csatornában.
2. Az átviteli technológiák megkettőzése. Fennáll annak a veszélye, hogy feltörnek és veszélyeztetnek bármilyen információtovábbítási technológiát, mind belső hiányosságai, mind külső hatások miatt. Az ilyen helyzetekkel szembeni védelem több különböző átviteli technológia párhuzamos alkalmazásában rejlik. Nyilvánvaló, hogy a párhuzamosság a hálózati forgalom drámai növekedéséhez vezet. Mindazonáltal ez a módszer akkor lehet hatékony, ha a lehetséges veszteségekből származó kockázatok költsége magasabb, mint a duplikáció költsége.
3. Decentralizáció. Sok esetben a szabványosított információcsere -technológiák használatát nem a szabványosítási vágy okozza, hanem a kommunikációs eljárásokat támogató rendszerek elégtelen számítási teljesítménye. Az interneten elterjedt "tükrök" gyakorlata szintén decentralizált megközelítésnek tekinthető. Az erőforrások több azonos példányának elkészítése hasznos lehet a valós idejű rendszerekben, amelyek rövid távú meghibásodása is súlyos következményekkel járhat. Bank Automation: A Tutorial. 2. rész Preobrazhensky N.B. Kiadó: ATiSO, 2008, p. 82.
4. Az elektronikus fizetések biztonsága
A szükséges információ mindig kéznél van ahhoz, hogy sok menedzser elgondolkodjon azon a problémán, hogy hogyan optimalizálja üzleti tevékenységét számítógépes rendszerek segítségével. De ha a könyvelés papírról elektronikus formára történő átvitelét már régen elvégezték, akkor a bankkal való kölcsönös elszámolás még mindig nem eléggé automatizált: az elektronikus dokumentumok áramlására való hatalmas átmenet még várat magára.
Manapság sok bank rendelkezik valamilyen csatornával a távoli fizetési műveletekhez. "Fizetési megbízást" küldhet közvetlenül az irodából modemkapcsolat vagy dedikált kommunikációs vonal segítségével. Valósággá vált a banki műveletek interneten keresztül történő végrehajtása - ehhez elegendő egy számítógép, amely hozzáférést biztosít a globális hálózathoz, és egy elektronikus digitális aláírás (EDS) kulcs, amelyet regisztráltak a banknál.
A távoli banki szolgáltatások lehetővé teszik a magánvállalkozások hatékonyságának növelését a tulajdonosok minimális erőfeszítésével. Ez biztosítja: időmegtakarítást (nem kell személyesen jönni a bankba, a fizetés bármikor elvégezhető); a munka kényelme (minden műveletet személyi számítógépről végeznek ismerős üzleti környezetben); nagy sebességű fizetésfeldolgozás (a banküzemeltető nem nyomtatja újra az adatokat papír eredetiről, ami lehetővé teszi a beviteli hibák kiküszöbölését és a fizetési dokumentum feldolgozási idejének csökkentését); a dokumentum állapotának figyelemmel kísérése a feldolgozás során; információk megszerzése a számlákon történő pénzmozgásokról.
A nyilvánvaló előnyök ellenére azonban az elektronikus fizetések Oroszországban még nem túl népszerűek, mivel a banki ügyfelek nem biztosak a biztonságukban. Ez elsősorban annak a széles körben elterjedt véleménynek köszönhető, hogy a számítógépes hálózatokat egy hacker könnyen "feltörheti". Ez a mítosz szilárdan az ember fejében gyökerezik, és a médiában rendszeresen közzétett hírek egy másik webhely elleni támadásokról tovább erősítik ezt a véleményt. De az idők változnak, és az elektronikus kommunikáció előbb-utóbb felváltja annak a fizetőnek a személyes jelenlétét, aki készpénz nélküli banki átutalást szeretne végrehajtani egyik számláról a másikra.
Véleményem szerint az elektronikus banki műveletek biztonsága ma biztosítható. Ezt garantálják a modern kriptográfiai módszerek, amelyek az elektronikus fizetési dokumentumok védelmét szolgálják. Először is, ez egy EDS, amely megfelel a GOST 34.10-94-nek. 1995 óta sikeresen használja az Orosz Bank. Kezdetben csak néhány régióban vezette be a régiók közötti elektronikus települések rendszerét. Most az Orosz Föderáció minden régiójára kiterjed, és gyakorlatilag lehetetlen elképzelni az Oroszországi Bank működését anélkül. Tehát van-e oka kételkedni a digitális aláírás megbízhatóságában, ha használatát időpróbára tették, és már így vagy úgy hazánk minden állampolgárát érinti?
Az elektronikus digitális aláírás a biztonság garanciája. A bank és az ügyfél között létrejött szabványos megállapodás szerint elegendő számú, az EDS -ben regisztrált jogosult személy jelenléte az elektronikus dokumentum alapján szolgál alapul a banki műveletek elvégzéséhez az ügyfél számláján. Az 1-FZ sz., 10.01.02. Sz. Törvény "Az elektronikus digitális aláírásokról" előírja, hogy az EDS-t a FAPSI által hitelesített szoftverrel kell létrehozni és ellenőrizni. Az EDS tanúsítvány garancia arra, hogy ez a program titkosítási funkciókat lát el a GOST szabványoknak megfelelően, és nem követ el pusztító műveleteket a felhasználó számítógépén.
Ahhoz, hogy EDS -t helyezzen el egy elektronikus dokumentumon, rendelkeznie kell a kulccsal, amely tárolható néhány kulcsfontosságú adathordozón. A modern kulcstartók ("e-Token", "USB-meghajtó", "Touch-Memory") formájukban hasonlítanak a kulcstartókra, és egy csomó közönséges kulccsal is hordozhatók. A hajlékonylemezek a legfontosabb információk hordozójaként is használhatók.
Minden EDS -kulcs analógja egy jogosult személy kézzel írt aláírásának. Ha a szervezetben a papírokon a "kifizetéseket" általában az igazgató és a főkönyvelő írja alá, akkor az elektronikus rendszerben a legjobb, ha ugyanazt az eljárást megtartják, és különböző EDS -kulcsokat biztosítanak a jogosult személyek számára. Azonban egy EDS is használható - ezt a tényt tükrözni kell a bank és az ügyfél közötti megállapodásban.
Az EDS kulcs két részből áll - zárt és nyitott. A nyilvános részt (nyilvános kulcs), miután a tulajdonos generálta, benyújtják a Hitelesítésszolgáltatóhoz, amelynek szerepét általában a bank tölti be. A nyilvános kulcsot, a tulajdonosára vonatkozó információkat, a kulcs célját és egyéb információkat a Hitelesítési Központ EDS aláírja. Így létrejön egy EDS tanúsítvány, amelyet regisztrálni kell a bank elektronikus elszámolási rendszerében.
Az EDS -kulcs privát részét (titkos kulcs) a kulcs tulajdonosa semmilyen körülmények között nem ruházhatja át más személyre. Ha a titkos kulcsot akár rövid időre át is adták egy másik személynek, vagy valahol felügyelet nélkül hagyták, a kulcsot „veszélyeztetettnek” kell tekinteni (vagyis a kulcs másolásának vagy illegális használatának lehetőségét jelenti). Más szóval, ebben az esetben egy személy, aki nem a kulcs tulajdonosa, lehetőséget kap arra, hogy aláírjon egy, a szervezet vezetősége által nem engedélyezett elektronikus dokumentumot, amelyet a bank elfogad, és végrehajtja, mert az EDS megmutatja hitelességét. Ebben az esetben minden felelősség kizárólag a kulcs tulajdonosát terheli. Ebben a helyzetben az EDS -tulajdonos intézkedéseinek hasonlóaknak kell lenniük azokhoz, amelyeket egy közönséges műanyag kártya elvesztése esetén tesznek: ennek a személynek tájékoztatnia kell a bankot az EDS -kulcs „kompromisszumáról” (elvesztéséről). Ezután a bank letiltja ennek az EDS -nek a tanúsítványát a fizetési rendszerében, és a támadó nem tudja használni az illegális megszerzését.
A titkos kulcs illegális használatának megakadályozására jelszó segítségével is lehetőség van, amely rá van helyezve mind a kulcsra, mind a kulcsszolgáltatók bizonyos típusaira. Ez segít minimalizálni a károkat veszteség esetén, mivel jelszó nélkül a kulcs érvénytelenné válik, és a tulajdonosnak lesz elég ideje, hogy tájékoztassa a bankot az EDS „kompromisszumáról”.
Nézzük meg, hogyan használhatja az ügyfél az elektronikus fizetési szolgáltatásokat, feltéve, hogy a bank telepített egy rendszert az InterBank elektronikus banki szolgáltatások integrált megvalósítására. Ha az ügyfél magánvállalkozó, vagy egy kis kereskedelmi céget vezet, és rendelkezik internet -hozzáféréssel, akkor elegendő, ha kiválasztja a használni kívánt kriptográfiai védelmi rendszert (EDS és titkosítás). Az ügyfél telepítheti a CryptoPro CSP hitelesített szoftvert, vagy használhatja a Microsoft Windows rendszerbe épített Microsoft Base CSP rendszert.
Ha az ügyfél nagyvállalat, nagy pénzügyi forgalommal, akkor egy másik alrendszer az InterBank struktúrából - "Windows Client" - ajánlható neki. Segítségével az ügyfél önállóan vezet elektronikus dokumentumok adatbázisát, és fizetési megbízásokat készíthet számítógépén anélkül, hogy kommunikálna a bankkal. Amikor az összes szükséges dokumentum létrejön, az ügyfél telefonon vagy adatcserére szolgáló külön vonalon csatlakozik a bankhoz.
Az InterBank komplexum egy másik szolgáltatástípusa, hogy tájékoztatja az ügyfelet bankszámlájának állapotáról, árfolyamáról, és egyéb referenciaadatokat továbbít hangos kommunikáción, faxon vagy mobiltelefon képernyőjén keresztül.
Az elektronikus elszámolás kényelmes módja a fizetési dokumentumok aláírása a vállalat felhatalmazott munkatársai által, akik jelentős távolságra vannak egymástól. Például egy főkönyvelő elkészített és aláírt egy elektronikus fizetési dokumentumot. Az igazgató, aki éppen üzleti úton van egy másik városban vagy egy másik országban, megtekintheti ezt a dokumentumot, aláírhatja és elküldheti a banknak. Mindezeket a műveleteket elvégezheti az "Internet-ügyfél" alrendszer, amelyhez a könyvelő és a vállalat igazgatója az interneten keresztül kapcsolódik. Az adatok titkosítása és a felhasználói hitelesítés az egyik szabványos protokoll - SSL vagy TLS - használatával történik.
Tehát az elektronikus fizetések alkalmazása az üzleti életben jelentős előnyökkel jár a hagyományos szolgáltatással szemben. Ami a biztonságot illeti, azt egyrészt az EDS szabvány (GOST 34.10-94) biztosítja, másrészt az ügyfél felelőssége az aláírási kulcs tárolásában. Az ügyfél mindig kaphat ajánlásokat az EDS -kulcsok használatáról és tárolásáról a banknál, és ha ezeket betartja, a fizetések megbízhatósága garantált. Pénzügyi újság (Regionális kiadás), Moszkva, 2009.03.28.
5. Az egyének személyes kifizetéseinek biztonsága
A legtöbb biztonsági rendszer az egyének személyes adatainak elvesztésének elkerülése érdekében megköveteli a felhasználótól annak megerősítését, hogy ő az, akinek állítja magát. A felhasználó azonosítása az alábbiak alapján történhet:
* ismer bizonyos információkat (titkos kód, jelszó);
* van egy bizonyos tárgya (kártya, elektronikus kulcs, token);
* van egy sor egyéni vonása (ujjlenyomatok, kéz alakja, hangneme, a retina rajza stb.);
* tudja, hogy hol vagy hogyan van csatlakoztatva a speciális kulcs.
Az első módszer megköveteli egy bizonyos kódsorozat beírását a billentyűzeten - egy személyi azonosító számot (PIN). Ez általában egy 4-8 számjegyből álló sorozat, amelyet a felhasználónak meg kell adnia tranzakció végrehajtásakor.
A második módszer magában foglalja a felhasználó bizonyos egyedi azonosító elemek - nem másolható elektronikus eszközről, kártyáról vagy tokenből olvasott kódok - felhasználó általi bemutatását.
A harmadik módszer szerint a bérlet az egyén személyiségének egyéni jellemzői és fizikai jellemzői. Bármely biometrikus terméket meglehetősen terjedelmes adatbázis kísér, amely tárolja a megfelelő képeket vagy más, felismeréshez használt adatokat.
A negyedik módszer a berendezések bekapcsolásának vagy átkapcsolásának speciális elvét feltételezi, amely biztosítja a működését (ezt a megközelítést meglehetősen ritkán alkalmazzák).
A banki tevékenységben a legelterjedtebbek a személyazonosítás eszközei, amelyeket a második csoportnak tulajdonítottunk: egy bizonyos tárgyat (kártya, elektronikus kulcs, token). Természetesen egy ilyen kulcs használata az azonosítási eszközökkel és módszerekkel együtt történik, amelyeket az első csoportnak tulajdonítottunk: az információk felhasználásának (titkos kód, jelszó).
Nézzük meg közelebbről a banki személyazonosítást Banki automatizálás: oktatóanyag. 2. rész Preobrazhensky N.B. Kiadó: ATiSO, 2008.
Műanyag kártyák.
Jelenleg több mint egymilliárd kártyát adtak ki a világ különböző országaiban I. I. Linkov. és egyéb információs részlegek a kereskedelmi struktúrákban: hogyan lehet túlélni és sikeres lenni. - M: NIT, 2008. A leghíresebb közülük:
Hitelkártya Visa (több mint 350 millió kártya) és MasterCard (200 millió kártya);
Nemzetközi csekk garanciák Eurocheque és Posteheque;
Utazási és szórakoztató kártyák American Express (60 millió kártya) és Diners Club.
Mágneses kártyák (lásd a 2. függeléket)
A mágnescsíkkal ellátott műanyag kártyák a legismertebbek, és régóta használják a banki azonosítás eszközeként (sok rendszer lehetővé teszi a hagyományos hitelkártyák használatát). Az olvasáshoz át kell húzni a kártyát (mágnescsíkot) az olvasó (olvasó) nyílásán. Az olvasók általában külső eszköz formájában készülnek, és a számítógép soros vagy univerzális portján keresztül vannak csatlakoztatva. A billentyűzettel kombinált olvasók is készülnek. Az ilyen kártyáknak azonban vannak előnyei és hátrányai.
* a mágneskártya könnyen másolható a rendelkezésre álló berendezésekre;
* szennyeződés, enyhe mechanikai hatás a mágneses rétegre, a kártya elhelyezkedése erős elektromágneses mezők közelében károsítja a kártyát.
Előnyök:
* az ilyen kártyák kibocsátásának és karbantartásának költségei alacsonyak;
* a mágneses műanyag kártyák iparága évtizedek óta fejlődik, és jelenleg a kártyák több mint 90% -a műanyag kártya;
* a mágneskártyák használata akkor indokolt, ha nagyon sok felhasználó van, és gyakran cserélik a kártyákat (például a szállodai szoba eléréséhez).
Proximity kártyák (lásd 2. függelék)
Valójában ez az elektronikus jelzők ötletének fejlesztése. Ez egy érintés nélküli kártya (de lehet kulcstartó vagy karkötő is), amely egyedi kódú chipet vagy rádióadót tartalmaz. Az olvasó speciális antennával van felszerelve, amely folyamatosan elektromágneses energiát bocsát ki. Amikor a kártya belép ebbe a mezőbe, a kártya chipje feszültség alá kerül, és a kártya elküldi egyedi kódját az olvasónak. A legtöbb olvasó számára a stabil válasz távolság néhány millimétertől 5-15 cm-ig terjed.
Intelligens kártyák (lásd a 2. függeléket)
A mágneskártyával ellentétben az intelligens kártya mikroprocesszort és érintkezőpárnákat tartalmaz az áramellátáshoz és az információcseréhez az olvasóval. Az intelligens kártya nagyon magas szintű biztonsággal rendelkezik. Vele kapcsolatban állnak még az ilyen kulcsok fejlesztésének fő kilátásai és a biztonsági rendszerek számos fejlesztőjének reményei.
Az intelligens kártya technológia körülbelül húsz éve létezik és fejlődik, de csak az utóbbi években terjedt el. Nyilvánvaló, hogy az intelligens kártya nagy memóriakapacitása és funkcionalitása miatt kulcsként és bérletként is működhet, ugyanakkor bankkártya is lehet. A való életben a funkciók ilyen kombinációját ritkán hajtják végre.
Az intelligens kártyával való munkavégzéshez a számítógépet fel kell szerelni egy speciális eszközzel: beépített vagy külső kártyaolvasóval. A külső kártyaolvasók a számítógép különböző portjaihoz csatlakozhatnak (PS / 2 soros, párhuzamos vagy billentyűzet port, PCMCIA bővítőhely, SCSI vagy USB).
Sok kártya különböző típusú (algoritmus) hitelesítést biztosít. Az elektronikus felismerési folyamatban három fél vesz részt: a kártya felhasználója, a kártya és a végberendezés (kártyaolvasó). A hitelesítésre azért van szükség, hogy a felhasználó, a végberendezés, amelybe a kártyát behelyezték, vagy az a szoftveralkalmazás, amelyhez a kártya paramétereit közlik, elvégezhessen bizonyos műveleteket a kártyán lévő adatokkal. A hozzáférési szabályokat az alkalmazásfejlesztő rendeli hozzá, amikor adatstruktúrákat hoz létre a térképen.
Elektronikus jelzők (lásd 2. melléklet)
Most a különböző rendszerekben, amelyek felhasználói vagy tulajdonos azonosítást igényelnek, az elektronikus tokeneket (vagy úgynevezett token eszközöket) széles körben használják bérletként. Az ilyen token jól ismert példája az elektronikus tabletta (8.4. Ábra). A "tablet" kerek rozsdamentes acél tokban készült, és egy chipet tartalmaz, amelybe egyedi szám van rögzítve. A felhasználói hitelesítés azután történik, hogy egy ilyen "táblagépet" megérintett egy speciális érintkezőeszközhöz, amely általában a számítógép soros portjához van csatlakoztatva. Így engedélyezheti a helyiségekhez való hozzáférést, de engedélyezheti a számítógépen végzett munkát is, vagy letilthatja az illetéktelen felhasználók munkáját a számítógépen.
A kényelem érdekében a "táblagép" kulcstartóra rögzíthető, vagy műanyag burkolatba préselhető.
Jelenleg ezeket az eszközöket széles körben használják az elektromechanikus zárak (szobaajtók, kapuk, bejárati ajtók stb.) Vezérlésére. Azonban "számítógépes" használatuk is elég hatékony.
Mind a három felsorolt kulcscsoport passzív jellegű. Nem hajtanak végre semmilyen aktív műveletet, és nem vesznek részt a hitelesítési folyamatban, hanem csak a tárolt kódot adják vissza. Ez a fő területük.
A tokenek valamivel jobb tartósságúak, mint a mágneses kártyák. 2. rész Preobrazhensky N.B. Kiadó: ATiSO, 2008.
Következtetés
Így a banki információk védelmének problémája túl komoly ahhoz, hogy a bank elhanyagolja azokat. Az utóbbi időben a titoktartási szint megsértésének nagyszámú esetét figyelték meg a hazai bankokban. Példa erre a különböző cégek és magánszemélyek CD -jén található különböző adatbázisok ingyenes hozzáférése. Elméletileg a banki információk védelmének biztosítására vonatkozó jogi keret hazánkban létezik, de alkalmazása korántsem tökéletes. Eddig nem volt olyan eset, amikor egy bankot megbüntettek volna az információk nyilvánosságra hozataláért, amikor bármelyik társaságot megbüntették a bizalmas információk megszerzésének kísérlete miatt.
A banki információvédelem összetett feladat, amelyet nem lehet csak banki programok keretében megoldani. A védelem hatékony megvalósítása a banki programok működését támogató operációs rendszerek és hálózati rendszereszközök kiválasztásával és konfigurálásával kezdődik. A védelem biztosításának fegyelmező eszközei közül két területet kell megkülönböztetni: egyrészt ez a rendszerhasználók minimális kellő tudatossága a rendszer felépítésének jellemzőiről; másrészt a felhasználói azonosítás és jogaik ellenőrzésének többszintű eszközeinek jelenléte.
Fejlődésének különböző pontjain az ABS különböző védelmi összetevőket tartalmazott. Orosz körülmények között a legtöbb bankrendszert a védelem szintjét tekintve az első és második szintű komplexitású rendszerek közé kell sorolni:
1. szint - az operációs rendszerek és hálózati programok szabványos eszközei által biztosított szoftvereszközök használata;
2. szint - biztonsági szoftverek használata, információ kódolás, hozzáférési kódolás.
A fentieket összegezve arra a következtetésre jutottam, hogy a bankszektorban végzett munka során biztosnak kell lennie abban, hogy a vállalati és kereskedelmi információk magánjellegűek maradnak. Ügyelni kell azonban arra, hogy ne csak a dokumentációt és egyéb gyártási információkat, hanem a hálózati beállításokat és a hálózati paramétereket is védjük a gépen.
A banki információk védelmének feladata sokkal szigorúbb, mint más szervezeteknél. Az ilyen probléma megoldása magában foglalja a védelmet biztosító szervezeti, rendszerszintű intézkedések tervezését. Ugyanakkor a védelem tervezésekor egy intézkedést kell követni a szükséges védelmi szint és az adott szint között, amikor a védelem zavarni kezdi a személyzet normális munkáját Banki műveletek automatizálása: oktatóanyag. 2. rész Preobrazhensky N.B. Kiadó: ATiSO, 2008.
A felhasznált irodalom jegyzéke
1. A banki műveletek automatizálása: oktatóanyag. 2. rész Preobrazhensky N.B. Kiadó: ATiSO, 2008
2. Gaikovich Yu.V., Pershin A.S. Az elektronikus banki rendszerek biztonsága. - M: Egyesült Európa, 2008
3. Demin V.S. és más automatizált banki rendszerek. - M: Menatep-Inform, 2009.
4. Krysin V.A. Üzleti biztonság. - M: Pénzügy és statisztika, 2008
5. Linkov I.I. és egyéb információs részlegek a kereskedelmi struktúrákban: hogyan lehet túlélni és sikeres lenni. - M: NIT, 2008
6. Az Interfax ügynökség anyagai. 1995-2009
7. Pénzügyi újság (regionális kiadás), Moszkva, 2009.03.28
1. melléklet
Egy tipikus ASOIB személyzetének listája és mindegyikük kockázata:
1. A legnagyobb kockázat: rendszervezérlő és biztonsági rendszergazda.
2. Megnövekedett kockázat: rendszerüzemeltető, adatbevitel és -készítés üzemeltetője, feldolgozó menedzser, rendszerprogramozó.
3. Átlagos kockázat: rendszermérnök, szoftvermenedzser.
4. Korlátozott kockázat: alkalmazásprogramozó, mérnök vagy kommunikációs operátor, adatbázis -adminisztrátor, berendezés -mérnök, periféria -berendezés -kezelő, rendszer -mágneses médiatár, programozó -felhasználó, ügyintéző.
5. Alacsony kockázatú: perifériás berendezések mérnöke, felhasználói mágneses médiakönyvtáros, hálózati felhasználó.
2. függelék
Rizs. 1 mágneses kártya
Rizs. 2 Proximity kártya
Rizs. 3 Intelligens kártya
Rizs. 4 Elektronikus jelzők
3. függelék
|
A Visa és a MasterCard veszteségstatisztikája |
||
|
Részesedés az összes veszteségben,% |
||
|
Eladó csalás |
||
|
Lopott kártyák |
||
|
Hamisítás |
||
|
Változtassa meg a térkép domborművét |
||
|
Elveszett kártyák |
||
|
Helytelen használat |
||
|
Telefonos átverés |
||
|
Levél csalás |
||
|
Levélcsalás |
||
|
Lopás a gyártás során |
||
|
Összejátszás a kártya tulajdonosával |
||
Közzétéve: Allbest.ru
...A banki információk védelmének értéke és problémái. Módszerek a banki információk feldolgozására szolgáló automatizált rendszerek biztonságának biztosítására. Az elektronikus fizetések kriptográfiai védelmének előnyei és módszerei. A személyazonosítás a banki szolgáltatásokban.
absztrakt, hozzáadva 2013.08.06
Állampolitika az információs források kialakításában. Információbiztonsági feladatok komplexumának kiválasztása. A vállalat információbiztonságát és információvédelmét szolgáló vetített szoftver és hardver rendszere.
szakdolgozat, hozzáadva 2015.04.23
Az információbiztonság fogalma és alapelvei. A biztonság fogalma az automatizált rendszerekben. Az Orosz Föderáció jogszabályainak alapjai az információbiztonság és az információvédelem, az engedélyezési és tanúsítási folyamatok területén.
előadások lefolyása, hozzáadva 2012.04.17
A bank információbiztonságát veszélyeztető lehetséges veszélyek modelljének felépítése, figyelembe véve a meglévő hazai és nemzetközi szabályozási keretet. A banki információk védelmének megszervezésére vonatkozó szabályozási és jogi dokumentumok összehasonlító elemzése.
laboratóriumi munka, hozzáadva 2010.11.30
A személyes adatok biztonsági rendszerének létrehozásának előfeltételei. Információbiztonsági fenyegetések. Az ISPD jogosulatlan hozzáférésének forrásai. A személyes adatok információs rendszereinek eszköze. Információbiztonsági eszközök. Biztonsági politika.
szakdolgozat hozzáadva 2016.07.10
A magánszemélyek bankokban történő elektronikus és személyes fizetéseinek biztonsági elvei. Információtovábbítási és védelmi technológiák megvalósítása; a szoftver és hardver környezet fejlesztésének szisztematikus megközelítése: információ és hozzáférés kódolása; titkosítás, kriptográfia.
absztrakt hozzáadva: 2013.05.18
A bankok információbiztonságának jellemzői. Az emberi tényező az információbiztonság biztosításában. Információszivárgás, a jogsértések fő okai. Különféle szoftverek és hardverek kombinációja. Adatintegritási mechanizmusok.
teszt, hozzáadva 2013.10.16
Információbiztonsági célok. Az Oroszországot fenyegető legfőbb információforrások forrásai. Az információbiztonság fontossága a különböző szakemberek számára a vállalat és az érdekeltek szemszögéből. Módszerek az információk szándékos információfenyegetésekkel szembeni védelmére.
bemutató hozzáadva: 2010.12.27
Az "információbiztonság" fogalmának lényege. Biztonsági modellkategóriák: titoktartás; sértetlenség; elérhetőség. Információbiztonság és az Internet. Információbiztonsági módszerek. A vírusirtó technológiák fő feladatai.
teszt, hozzáadva 2010.06.11
Szabályozó dokumentumok az információbiztonság területén Oroszországban. Az információs rendszereket fenyegető veszélyek elemzése. A klinika személyes adatvédelmi rendszerének megszervezésének jellemzői. Hitelesítési rendszer megvalósítása elektronikus kulcsok használatával.
