Védelem alá esik minden olyan dokumentált információ, amelynek jogellenes kezelése a Bankot és/vagy az információit a Bankra bízó ügyfelet kárt okozhat.
Ilyen információk a következők:
1. Az előirányzat-kezelők személyes számláin lévő összes tranzakció.
2. Az intézmények és szervezetek bérbevételének feltételei ("bér"szerződések szerint).
3. Az ellenőrzési és ellenőrzési munka tervei.
4. Külső és belső ellenőrzési aktusok.
5. Tájékoztatás egy adott kifizetőtől kapott összegekről.
6. Levelezés a rendvédelmi szervekkel.
7. Üzleti jellegű információk, amelyeket a vezetők által tartott értekezletek során vitatnak meg.
8. Vállalkozások, cégek, bankok és egyéb gazdasági társaságok üzleti titkát képező információk.
9. A "tranzakciós nap" feldolgozásához használt szoftver adatai.
10. A "tranzakciós nap" dokumentumainak mozgási sémája.
11. Az automatizált rendszerek felépítése, az AU adminisztrációs eljárása és a védendő információs erőforrások, jelszavak listája és az aktív berendezések nevei.
12. Az információáramlás leírása, a Hivatal távközlési topológiája, az AC elemek elrendezései.
13. Információbiztonsági rendszer.
14. Tájékoztatás az információ védelmét szolgáló szervezeti és technikai intézkedésekről.
15. Létszámtábla és banki alkalmazottak száma.
16. Személyes adatok a munkavállalókról.
17. Adatok a munkavállaló személyi aktájából, munkakönyvből, F.№Т-2.
18. Tájékoztatás az állampolgár jövedelméről és a tulajdonjog alapján hozzá tartozó vagyonról, a munkavállalók bérére és egyéb kifizetéseire vonatkozó adatok.
19. Az állampolgári kérelmek és a munkafegyelem megsértése miatti vizsgálatok anyagai.
20. A bank tevékenységére vonatkozó egyéb információk, amelyek forgalmazásának korlátozását üzleti szükségszerűség szabja meg.
Az AS erőforrások közé tartoznak az adatok, információk, szoftverek, hardverek, szolgáltatások és távközlés.
Az információvédelmi mód be van állítva
1.4.2. Lehetséges veszélyek a védett információforrásokra
Az azonosított fenyegetések a következők:
1. Jogosulatlan hozzáférés.
2. Szándékos és nem szándékos meghibásodások a számítógépek, elektromos berendezések stb. működésében, amelyek információ elvesztéséhez vagy torzulásához vezetnek.
3. A kommunikációs csatornákon továbbított információ elfogása, eltorzítása vagy megváltoztatása.
4. Illegális információmegismerés.
1.4.3. Információs források védelme
A védett információs erőforrásokat fenyegető lehetséges veszélyek megelőzése:
1. Az illetéktelen hozzáféréstől- az NSD-től származó információk védelmét szolgáló rendszer létrehozása, amely szoftver és hardver eszközök és szervezeti megoldások komplexuma.
A szervezeti döntések a következők:
· A védett atomerőművet tartalmazó létesítmény védelmének biztosítása az SVT, az információhordozók, valamint az NSD-től az SVT-hez és a kommunikációs vonalakhoz történő ellopásának megakadályozása érdekében;
· Az AU biztonsági osztályának megválasztása az információfeldolgozás jellemzőinek és titkosságának szintjének megfelelően;
· Számvitel szervezése, információhordozók, jelszavak, kulcsok tárolása és kiadása, a szolgáltatási dokumentáció karbantartása, az AU-ba tartozó új szoftverek átvétele, valamint a bizalmas információk feldolgozásának technológiai folyamatának ellenőrzése;
· Megfelelő szervezeti és adminisztratív dokumentáció kidolgozása.
A globális számítógépes hálózatokhoz való csatlakozás csak az ilyen kapcsolat tényleges szükségességének megállapítása után történik, és a védelmi intézkedések teljes skáláját végrehajtják.
2. A szándékos és nem szándékos kudarcoktól az SVT, az elektromos berendezések stb. működésében, ami az információ elvesztéséhez vagy torzulásához vezet.
Az információs és távközlési rendszerek működéséhez szükséges szoftverek (szoftverek) lista formájában készülnek, és használatukat a vezetővel kell jóváhagyni.
Bármilyen program telepítését a munkahelyeken csak az ITO szakemberei végezhetik. A szoftver önálló telepítése szigorúan tilos.
A bizalmas információk torzulástól vagy megsemmisüléstől való védelmének biztosítása érdekében az SVT és a berendezések működésének meghibásodása esetén a védett információkról biztonsági mentés készül, és szünetmentes tápegységeket használnak. A biztonsági mentés gyakoriságát és eljárását a LAN rendszergazdája határozza meg, az információk, adatbázis-szoftverek megőrzésének igénye alapján.
3. A kommunikációs csatornákon továbbított információ elfogása, eltorzítása vagy megváltoztatása.
Tilos a „Hivatalos használatra” megjelölésű bizalmas információk továbbítása nyílt kommunikációs csatornákon e-mailen, faxon és bármilyen más típusú kommunikáción keresztül, titkosítás nélkül.
Az e-mailt a banki dokumentumáramlás megvalósítására használják más szervezetekkel. A munkanap végén a kapcsolóberendezések helyeit lepecsételjük, az ajtókat bezárjuk, azokhoz illetéktelenek, felelős kísérő nélkül bejutni tilos. (A banki alkalmazottak is kívülállók, akik funkcionális felelősségüknél fogva nem kapcsolódnak ezen berendezés üzemeltetéséhez).
A felelős személyek rendszeresen szemrevételezéssel ellenőrzik az összes távközlést annak érdekében, hogy azonosítsák vagy időben megakadályozzák az információk lekérésére szolgáló speciális eszközök csatlakoztatására irányuló kísérleteket.
4. Illegális információmegismerés.
Az információ jogellenes megismerésének megelőzése érdekében korlátozni kell a védendő információ kezelésének helye szerinti helyiségekbe való bejutást.
A munkavállaló munkahelyének megszervezése során a képernyőt úgy helyezi el, hogy az illetéktelenek számára megnehezítse a képernyőn megjelenő információk megtekintését.
Ha bármilyen okból elhagyja munkahelyét, a munkavállalónak ki kell jelentkeznie a hálózatból, vagy le kell zárnia a képernyőt.
Mi legyen a vírusvédelem?
A banki információs rendszer vírusvédelmének általában hierarchikus elven kell alapulnia:
A helyi számítógépes hálózaton keresztül minden szintű szolgáltatás egyetlen számítógépes hálózatba egyesül (egy infrastruktúrát alkot).
A vállalati szintű szolgáltatásoknak folyamatosan futniuk kell.
Az irányítást minden szinten dedikált személyzetnek kell végeznie, amelyhez központosított adminisztrációs eszközöket kell biztosítani.
A vírusirtó rendszernek a következő típusú szolgáltatásokat kell nyújtania vállalati szinten:
tanszéki szinten:
Funkcionális követelmények
Általános követelmények
A rendszer megbízhatóságára és működésére vonatkozó követelmények
1. Első szinten az internetkapcsolatot vagy a kommunikációs szolgáltató hálózatát védik - ez egy tűzfal és levelezési átjáró, hiszen a statisztikák szerint a vírusok körülbelül 80%-a onnan érkezik. Meg kell jegyezni, hogy ilyen módon a vírusok legfeljebb 30% -át észlelik, mivel a fennmaradó 70% csak a végrehajtás során észlelhető.
A vírusirtóknak a tűzfalakhoz való használata manapság az internet-hozzáférés szűrésében rejlik, és ezzel egyidejűleg a forgalmat víruskereső vizsgálattal végzi.
Az ilyen termékek által végzett vírusellenőrzés nagymértékben lelassítja a munkát és rendkívül alacsony az észlelési szintje, ezért a felhasználók által meglátogatott weboldalak szűrésének hiányában ilyen termékek használata nem tanácsos.
2. Általában a fájlszerverek, adatbázis-kiszolgálók és együttműködési rendszerek kiszolgálói védettek, mert a legfontosabb információkat tartalmazzák. A vírusirtó nem helyettesíti az információ-mentési eszközöket, azonban enélkül is szembesülhet olyan helyzettel, amikor a mentések fertőzöttek, és a vírus a fertőzés pillanatától számított hat hónappal később aktiválódik.
3. És végül a munkaállomások védettek, bár nem tartalmaznak fontos információkat, de a védelem jelentősen csökkentheti a katasztrófa utáni helyreállítás idejét.
Valójában a banki információs rendszer minden információszállítással és/vagy tárolással kapcsolatos összetevője vírusvédelem alá tartozik:
Ø Fájlszerverek;
Ø Munkaállomások;
Ø Mobil felhasználók munkaállomásai;
Ø Backup Server;
Ø E-mail szerver;
Ø A munkahelyek védelmét (beleértve a mobil felhasználókat is) vírusirtó eszközökkel és a munkaállomások hálózati átvilágításának eszközeivel kell végezni.
A tűzfalak elsősorban arra szolgálnak, hogy megvédjék a mobil felhasználókat az internet használata közben, valamint megvédjék a vállalat LAN-munkaállomásait a biztonsági szabályzatok belső megsértőitől.
A munkaállomások tűzfalainak főbb jellemzői:
Irányítsa a csatlakozásokat mindkét irányban
Az ismert alkalmazások hozzáférésének engedélyezése az internethez felhasználói beavatkozás nélkül (autoconfig)
Konfigurációs varázsló minden egyes alkalmazáshoz (csak a telepített alkalmazások képesek megjeleníteni a hálózati tevékenységet)
A számítógép láthatatlanná tétele az interneten (elrejti a portokat)
Megakadályozza az ismert hackertámadásokat és trójai falókat
Értesítse a felhasználót a feltörési kísérletekről
Írjon információkat a kapcsolatokról egy naplófájlba
A bizalmasnak minősített adatok előzetes értesítés nélküli elküldésének megakadályozása
Ne engedje, hogy a szerverek információkat kapjanak a felhasználó tudta nélkül (cookie-k)
Az információs rendszerek vírusvédelme a bank átfogó gazdaságbiztonsági rendszerének legfontosabb és állandó funkciója. Ebben a kérdésben az átmeneti engedékenységek és a szabványoktól való eltérések elfogadhatatlanok. A bankban már meglévő vírusvédelmi megoldásoktól függetlenül mindig hasznos egy további auditot lefolytatni, és független és hozzáértő szakértő szemével értékelni a rendszert.
Az adatbank része minden olyan automatizált rendszernek, mint a CAD, ACS, ACS stb. Az adatbank feladata az információs modell rendkívül fontos állapotban tartása és a felhasználói igények biztosítása. Ehhez három műveletet kell végrehajtani az adatbankban: engedélyezés, törlés, módosítás. Ezek a műveletek biztosítják az adatok tárolását és módosítását.
Az automatizált rendszer fejlődésével megváltozik a tárgykör tárgyainak összetétele, megváltoznak a köztük lévő kapcsolatok. Mindeznek tükröződnie kell az információs rendszerben. Így az adatbank felépítésének rugalmasnak kell lennie. Mutassuk meg az adatbank helyét az automatizált rendszer részeként.
Az adatbank tervezésénél rendkívül fontos a felhasználói kérések biztosításának két szempontját figyelembe venni.
1) Egy adott témakör határainak meghatározása és információs modell kidolgozása. Vegye figyelembe, hogy az adatbanknak a teljes rendszerre vonatkozóan kell információt szolgáltatnia a jelenben és a jövőben is, figyelembe véve annak fejlődését.
2) Az adatbank fejlesztésének a felhasználói igények hatékony kiszolgálására kell irányulnia. Ebben a tekintetben rendkívül fontos elemezni a felhasználói kérések típusait és típusait. Szintén kiemelten fontos az automatizált rendszer funkcionális feladatainak elemzése, amelyhez ez a bank lesz az információforrás.
Az adatbank felhasználóit a következő jellemzők különböztetik meg:
· A bankkal való kommunikáció állandósága alapján.
Felhasználók : állandó és egyszeri ;
· A felvételi szint szerint. Az adatok egy részét védeni kell;
· Kérelem benyújtásának formájában. Kéréseket adhatnak programozók, nem programozók, feladatfelhasználók.
Az adatbankban lévő felhasználók nagy heterogenitása miatt egy speciális eszköz áll rendelkezésre, amely az összes lekérdezést egyetlen terminológiába helyezi. Ezt az eszközt általában ún adatszótár.
Kiemeljük elsődleges követelmények akinek válaszolnia kell adatbank külső felhasználók által ... Az adatbanknak:
1. Lehetőséget biztosítani nagy mennyiségű sokrétű információ tárolására és módosítására. Megfelel a mai és a kialakulóban lévő felhasználói követelményeknek.
Biztosítsa a tárolt információk megbízhatóságának és konzisztenciájának meghatározott szintjét.
3. Csak a megfelelő jogosultsággal rendelkező felhasználók számára biztosítson hozzáférést az adatokhoz.
4. Lehetőséget adni az attribútumok tetszőleges csoportjára vonatkozó információk keresésére.
5. A lekérdezések feldolgozása során teljesítse a meghatározott teljesítménykövetelményeket.
6. Legyen képes átszervezni, bővíteni a tantárgyi terület határainak megváltoztatásakor.
7. Biztosítsa az információ kiadását a felhasználó számára különféle formákban.
8. Lehetővé kell tenni nagyszámú külső felhasználó egyidejű kiszolgálását.
Ezen követelmények teljesítéséhez elengedhetetlen a központosított adatkezelés bevezetése.
Kiemeljük a központosított irányítás legfontosabb előnyei adatok a korábban használt biztosítékokhoz képest.
1) A tárolt adatok redundanciájának csökkentése. A több alkalmazás által használt adatok strukturáltak (integráltak) és egyetlen példányban kerülnek tárolásra.
2) A tárolt adatok inkonzisztenciájának megszüntetése. Az adatok redundanciája miatt megszűnik az a helyzet, amikor az adatok tényleges megváltoztatásakor úgy tűnik, nem minden nyilvántartásban változtak.
3) Adatok többdimenziós felhasználása egyetlen bemenettel.
4) Átfogó optimalizálás a felhasználói igények elemzése alapján. Olyan adatstruktúrákat választanak ki, amelyek a lehető legjobb szolgáltatást nyújtják.
5) A szabványosítás lehetőségének biztosítása. Ez megkönnyíti az adatcserét más automatizált rendszerekkel, valamint az adatok megfigyelésére és visszaállítására vonatkozó eljárásokat.
6) Az adatokhoz való jogosult hozzáférés lehetőségének biztosítása, ᴛ.ᴇ. az adatvédelmi mechanizmusok elérhetősége.
Hangsúlyozni kell, hogy a központosított adatkezelés fő problémája az alkalmazások adatoktól való függetlenségének biztosítása. Ez annak köszönhető, hogy az adatintegráció, az adatstruktúrák optimalizálása megköveteli a tárolt adatok megjelenítésének és az adatelérési mód megváltoztatását.
Következtetés: Az adatbank fő megkülönböztető jellemzője a központosított adatkezelés jelenléte.
A Rosstandart 2018. március 28-i, 156-os számú, „Az Orosz Föderáció nemzeti szabványának jóváhagyásáról szóló rendelete”
A 2017. augusztus 8-i Rosstandart 822-st számú „Az Orosz Föderáció nemzeti szabványának jóváhagyásáról szóló” parancsa
A „Szervezetek információbiztonságának biztosítása az Orosz Föderáció bankrendszerében” szabvány végrehajtásának fő céljai. Általános rendelkezések "STO BR IBBS-1.0 (a továbbiakban - szabvány):
A szabvány fő céljai:
Internetes fizetési rendszer Pénzügyi, üzleti szervezetek és Internet-felhasználók közötti elszámolási rendszer az áruk és szolgáltatások internetes vásárlása/eladása során. Ez a fizetési rendszer, amely lehetővé teszi, hogy egy rendelésfeldolgozási szolgáltatást vagy egy elektronikus kirakatot teljes értékű üzletté varázsoljon az összes szabványos attribútummal: az eladó weboldalán a termék vagy szolgáltatás kiválasztásával a vevő anélkül tud fizetni, hogy elhagyná a számítógép.
Az e-kereskedelmi rendszerben a kifizetések számos feltételhez kötöttek:
1. A titoktartás betartása. Az interneten keresztül történő fizetéskor a vásárló azt szeretné, ha adatait (például hitelkártyaszámát) csak olyan szervezetek ismernék meg, amelyek erre törvényileg jogosultak.
2. Az információk integritásának megőrzése. A vásárlási adatokat senki nem módosíthatja.
3. Hitelesítés. A vevőknek és az eladóknak meg kell bizonyosodniuk arról, hogy a tranzakcióban részt vevő valamennyi fél az, akinek mondják magukat.
4. Fizetési mód. A vevő rendelkezésére álló bármely fizetési móddal történő fizetés lehetősége.
6. Az eladó kockázati garanciái. Az internetes kereskedés során az eladó számos kockázatnak van kitéve, amelyek az áru visszautasításával és a vevő tisztességtelenségével kapcsolatosak. A kockázatok mértékéről külön megállapodások keretében kell megállapodni a fizetési rendszer szolgáltatójával és a kereskedelmi láncokban részt vevő más szervezetekkel.
7. A tranzakciós díjak minimalizálása. Az áruk megrendelésének és fizetésének tranzakció-feldolgozási díja természetesen benne van az önköltségben, így a tranzakciós ár csökkentése növeli a versenyképességet. Fontos megjegyezni, hogy a tranzakciót minden esetben ki kell fizetni, még akkor is, ha a vevő visszautasítja a terméket.
Mindezeket a feltételeket meg kell valósítani az internetes fizetési rendszerben, amely lényegében a hagyományos fizetési rendszerek elektronikus változata.
Így az összes fizetési rendszer a következőkre oszlik:
Terhelés (elektronikus csekkel és digitális készpénzzel dolgozva);
Hitel (hitelkártyákkal dolgozva).
Betéti rendszerek
A betéti fizetési sémák az offline prototípusokhoz hasonlóan épülnek fel: csekk és normál készpénz. A rendszerben két független fél vesz részt: a kibocsátók és a felhasználók. A kibocsátó a fizetési rendszert kezelő entitást jelenti. Kiad néhány elektronikus egységet, amelyek fizetéseket jelentenek (például bankszámlákon lévő pénzt).
A rendszer felhasználóinak két fő funkciójuk van. Kibocsátott elektronikus egységek használatával fizetnek és fogadnak el az interneten.
Az elektronikus csekk a szokásos papíralapú csekkekhez hasonló. Ezek a fizető utasításai bankjának, hogy utaljanak át pénzt számlájáról a kedvezményezett számlájára. A művelet a csekk átvevő általi banki bemutatása után történik. Két fő különbség van. Először is, papíralapú csekk írásakor a fizető valódi aláírást, az online változatban pedig elektronikus aláírást helyez el. Másodszor, magukat a csekkeket elektronikusan állítják ki.
A kifizetések feldolgozása több szakaszban történik:
1. A kifizető elektronikus csekket állít ki, azt elektronikus aláírással aláírja és megküldi a címzettnek. A nagyobb megbízhatóság és biztonság érdekében a folyószámlaszám kódolható a bank nyilvános kulcsával.
2. A csekket bemutatják a fizetési rendszernek történő kifizetésre. Továbbá (akár itt, akár a címzettet kiszolgáló banknál) az elektronikus aláírás ellenőrzése megtörténik.
3. Eredetiségének igazolása esetén az árut kiszállítják vagy a szolgáltatást teljesítik. A pénz átutalásra kerül a fizető számlájáról a kedvezményezett számlájára.
A fizetési séma egyszerűségét (43. ábra) sajnos kompenzálják a megvalósítás nehézségei, amelyek abból adódnak, hogy a csekkrendszerek még nem terjedtek el, és nincsenek hitelesítő központok az elektronikus aláírás megvalósítására.
Az elektronikus digitális aláírások (EDS) nyilvános kulcsú titkosítási rendszert használnak. Ez létrehoz egy privát kulcsot az aláíráshoz és egy nyilvános kulcsot az ellenőrzéshez. A privát kulcsot a felhasználó tartja meg, míg a nyilvános kulcshoz mindenki hozzáférhet. A nyilvános kulcsok terjesztésének legkényelmesebb módja a hitelesítésszolgáltatók. Vannak tárolt digitális tanúsítványok, amelyek a nyilvános kulcsot és a tulajdonosra vonatkozó információkat tartalmazzák. Ez mentesíti a felhasználót a saját nyilvános kulcsa terjesztésének kötelezettsége alól. Ezenkívül a hitelesítésszolgáltatók hitelesítést biztosítanak annak biztosítására, hogy senki ne generálhasson kulcsokat egy másik személy nevében.
Az elektronikus pénz teljes mértékben a valódi pénzt szimulálja. Ezzel egyidejűleg a kibocsátó szervezet - a kibocsátó - kibocsátja a különböző rendszerekben másként nevezett elektronikus megfelelőit (például kupon). Ezután olyan felhasználók vásárolják meg őket, akik vásárlások fizetésére használják őket, majd az eladó beváltja a kibocsátótól. Kibocsátáskor minden pénzegységet elektronikus pecséttel igazolnak, amelyet a kibocsátó szervezet a visszaváltás előtt ellenőriz.
A fizikai pénz egyik jellemzője az anonimitása, vagyis nem jelzi, hogy ki és mikor használta fel. Egyes rendszerek analógia útján lehetővé teszik az ügyfél számára, hogy elektronikus készpénzt kapjon úgy, hogy a közte és a pénz közötti kapcsolat nem állapítható meg. Ez vak aláírási séma használatával történik.
Azt is érdemes megjegyezni, hogy az elektronikus pénz használatakor nincs szükség hitelesítésre, hiszen a rendszer alapja a pénz forgalomba hozatala a felhasználás előtt.
A 44. ábra egy elektronikus pénzt használó fizetési sémát mutat be.
A fizetési mechanizmus a következő:
1. A vevő előzetesen valódi pénzt vált elektronikus pénzre. A készpénz ügyfélnél történő tárolása kétféleképpen történhet, amit az alkalmazott rendszer határoz meg:
A számítógép merevlemezén;
Intelligens kártyákon.
A különböző rendszerek különböző cseresémákat kínálnak. Egyesek speciális számlákat nyitnak, amelyekre az elektronikus számlákért cserébe pénzt utalnak át a vevő számlájáról. Egyes bankok maguk bocsátanak ki elektronikus készpénzt. Ugyanakkor csak az ügyfél kérésére adják ki, az ügyfél számítógépére vagy kártyájára történő utólagos átutalással és a készpénz-egyenértéknek a számlájáról történő felvételével. A vak aláírás megvalósítása során a vevő maga állítja elő az elektronikus számlákat, küldi el a banknak, ahol valódi pénz érkezik a számlára, lezárják és visszaküldik az ügyfélnek.
Az ilyen tárolás kényelme mellett hátrányai is vannak. A lemez vagy az intelligens kártya sérülése az elektronikus pénz visszafordíthatatlan elvesztéséhez vezet.
2. A vevő elektronikus pénzt utal át a vásárláshoz az eladó szerverére.
3. A pénzt bemutatják a kibocsátónak, aki ellenőrzi azok valódiságát.
4. Elektronikus számlák hitelessége esetén az eladó számláját megnövelik a vásárlás összegével, és az árut kiszállítják a vevőhöz vagy szolgáltatást nyújtanak.
Az elektronikus pénz egyik fontos megkülönböztető jellemzője a mikrofizetések végrehajtásának képessége. Ez annak a ténynek köszönhető, hogy a bankjegyek címlete nem feltétlenül felel meg a valódi érméknek (például 37 kopecks).
Mind a bankok, mind a nem banki szervezetek bocsáthatnak ki elektronikus készpénzt. A különböző típusú elektronikus pénzek átváltására azonban még nem dolgoztak ki egységes rendszert. Ezért az általuk kibocsátott elektronikus készpénzt csak maguk a kibocsátók válthatják be. Ráadásul az ilyen, nem pénzügyi struktúrákból származó pénzek felhasználását az állam nem garantálja. A tranzakció alacsony költsége azonban vonzó eszközzé teszi az e-készpénzt az internetes fizetések során.
Hitelrendszerek
Az internetes hitelrendszerek hasonlóak a hagyományos hitelkártya-rendszerekhez. A különbség az összes internetes tranzakció lebonyolításában rejlik, és ennek eredményeként a további biztonsági és hitelesítési eszközök szükségességében.
A hitelkártyákkal történő internetes fizetések során a következők vesznek részt:
1. Vevő. Kliens webböngészővel és internet-hozzáféréssel rendelkező számítógéppel.
2. Kibocsátó bank. A vásárló folyószámlája itt található. A kibocsátó bank kártyákat bocsát ki, és kezes az ügyfél pénzügyi kötelezettségeinek teljesítésére.
3. Eladók. Az eladók olyan e-kereskedelmi szerverek, amelyek katalógusokat vezetnek az árukról és szolgáltatásokról, és elfogadják az ügyfelek vásárlási megrendeléseit.
4. Elfogadó bankok. Eladókat kiszolgáló bankok. Minden eladónak egyetlen bankja van, amelyben a folyószámláját vezeti.
5. Fizetési rendszer Internet. Elektronikus alkatrészek, amelyek közvetítők a többi résztvevő között.
6. Hagyományos fizetési rendszer. Pénzügyi és technológiai eszközök komplexuma az ilyen típusú kártyák kiszolgálásához. A fizetési rendszer által megoldott főbb feladatok közé tartozik a kártyahasználat biztosítása áruk és szolgáltatások fizetőeszközeként, banki szolgáltatások igénybevétele, kölcsönös elszámolások lebonyolítása stb. A fizetési rendszer résztvevői magánszemélyek és jogi személyek, akiket hitelkártya-használati kapcsolatok kötnek össze.
7. A fizetési rendszer feldolgozási központja. Olyan szervezet, amely információs és technológiai interakciót biztosít a hagyományos fizetési rendszer résztvevői között.
8. A fizetési rendszer elszámoló bankja. Olyan hitelintézet, amely a feldolgozási központ nevében kölcsönös elszámolásokat végez a fizetési rendszer résztvevői között.
A fizetések általános sémáját egy ilyen rendszerben a 45. ábra mutatja.
1. A vásárló az e-áruházban árukosarat képez és a „bankkártyás” fizetési módot választja.
Az üzleten keresztül, vagyis a kártya paraméterei közvetlenül az üzlet weboldalán kerülnek bevitelre, majd átkerülnek az internetes fizetési rendszerbe (2a);
A fizetési rendszer szerverén (2b).
A második út előnyei nyilvánvalóak.
Ebben az esetben a kártyákkal kapcsolatos információk nem maradnak meg az üzletben, és ennek megfelelően csökken a harmadik fél általi kézhezvétel vagy az eladó általi megtévesztés kockázata. A hitelkártyaadatok átvitelekor mindkét esetben fennáll annak a lehetősége, hogy a hálózaton lévő kiberbűnözők lehallgatják őket. Ennek elkerülése érdekében az adatok továbbítása során titkosítva vannak.
A titkosítás természetesen csökkenti a hálózatban lévő adatok elfogásának lehetőségét, ezért célszerű a vevő / eladó, eladó / internetes fizetési rendszer, vevő / internetes fizetési rendszer közötti kommunikációt biztonságos protokollok segítségével bonyolítani. Ezek közül manapság a legelterjedtebb a Secure Sockets Layer (SSL) protokoll, valamint a biztonságos elektronikus tranzakciókra vonatkozó Secure Electronic Transaction (SET) szabvány, amelynek célja az SSL helyettesítése az internetes hitelkártyás vásárlásokhoz kapcsolódó tranzakciók feldolgozása során. .
3. Az internetes fizetési rendszer az engedélyezési kérelmet továbbítja a hagyományos fizetési rendszernek.
4. A következő lépés attól függ, hogy a kibocsátó bank vezet-e online számlaadatbázist (DB). Ha van adatbázis, a feldolgozó központ kártyaengedélyezési kérelmet küld a kibocsátó banknak (lásd bevezető vagy szótár) (4a), majd a (4b) megkapja az eredményt. Ha nincs ilyen adatbázis, akkor a feldolgozó központ maga tárol információkat a kártyabirtokosok számláinak állapotáról, stoplistákról és végrehajtja az engedélyezési kérelmeket. Ezt az információt a kibocsátó bankok rendszeresen frissítik.
Az üzlet szolgáltatást nyújt, vagy kiszállítja az árut (8a);
A feldolgozó központ információt küld a teljesített tranzakcióról az elszámoló banknak (8b). A vevőnek a kibocsátó banknál vezetett számlájáról a pénz az elszámoló bankon keresztül az üzlet elfogadó banknál vezetett számlájára kerül átutalásra.
Az ilyen fizetésekhez a legtöbb esetben speciális szoftverre van szükség.
Kiszállíthatja a vevőnek (úgynevezett e-pénztárca), a kereskedőnek és annak szolgáltató bankjának.
Előző25262728293031323334353637383940Következő
Életünkben az internet nemcsak a kommunikáció, a szórakozás és a kikapcsolódás eszköze, hanem a munkához és az elektronikus fizetéshez is. Sokan használunk internetes banki szolgáltatásokat és vásárolunk online.
Az online banki rendszerek és az online áruházak biztonsága ellenére – olyan védelmi módszereket használnak, mint a kettős hitelesítés, az egyszeri dinamikus SMS-jelszavas rendszerek, az egyszeri jelszavak vagy hardverkulcsok további listája, az SSL-védett kapcsolat stb. - a modern támadási módszerek lehetővé teszik a legmegbízhatóbb védekezési mechanizmusok megkerülését is.
Manapság a kiberbűnözők három leggyakoribb megközelítést alkalmaznak az internethasználók pénzügyi adatainak megtámadására:
- Az áldozat számítógépének megfertőzése trójai programokkal (keyloggerek, képernyőnaplózók stb.), amelyek elfogják a bemeneti adatokat;
- social engineering módszerek alkalmazása - adathalász támadások e-mailben, webhelyeken, közösségi hálózatokon stb.
- technológiai támadások (szippelés, DNS / Proxy szerverek helyettesítése, tanúsítványok cseréje stb.).
A felhasználó ne csak a bankra hagyatkozzon, hanem biztonsági programokkal növelje az internetes elektronikus fizetések biztonságát.
A modern Internet Security megoldások a vírusirtó funkciók mellett biztonságos fizetési eszközöket (elszigetelt virtuális környezetek az online műveletekhez), valamint sebezhetőségi szkennert, webvédelmet linkellenőrzéssel, rosszindulatú szkriptek és előugró ablakok blokkolását, adatvédelmet a lehallgatás ellen ( anti-keylogger), virtuális billentyűzet ...
Az online fizetések védelmét szolgáló, külön funkcióval rendelkező átfogó megoldások közül kiemelhetjük a Kaspersky Internet Security-t és a Safe Money komponenst, az avast!
Internetbiztonság az avast-tal! SafeZone és Bitdefender Internet Security a Bitdefender Safepay szolgáltatással. Ezek a termékek lehetővé teszik, hogy ne aggódjon a további védelem miatt.
Ha más víruskeresővel rendelkezik, közelebbről megtekintheti a további védelmi eszközöket. Köztük: Bitdefender Safepay (izolált webböngésző), Trusteer Rapport és HitmanPro.Alert a böngésző támadásokkal szembeni védelmére, Netcraft Extension bővítmények és alkalmazások, McAfee SiteAdvisor, Adguard az adathalászat elleni védelem érdekében.
Ne feledkezzünk meg a tűzfalról és a VPN-kliensről sem, ha pénzügyi tranzakciókat kell végrehajtania, miközben nyilvános helyeken csatlakozik nyílt vezeték nélküli Wi-Fi hálózatokhoz. Például a CyberGhost VPN AES 256 bites forgalomtitkosítást használ, amely megakadályozza, hogy a támadó felhasználja az adatokat, még akkor is, ha elfogják azokat.
Milyen módszereket használ az online fizetések védelmére? Ossza meg tapasztalatait a megjegyzésekben.
A bankok információvédelmi rendszere nagyban különbözik más cégek és szervezetek hasonló stratégiáitól. Ennek oka elsősorban a fenyegetések sajátossága, valamint a bankok nyilvános tevékenysége, amelyek az ügyfelek kényelme érdekében kénytelenek kellően egyszerűvé tenni a számlákhoz való hozzáférést.
A számítástechnika fejlődésével és terjedelmével egyre élesebbé válik a számítógépes rendszerek biztonságának biztosításának, a bennük tárolt és feldolgozott információknak a különféle fenyegetésekkel szembeni védelme. Ennek számos objektív oka van.
A legfontosabb az automatizált információfeldolgozó rendszerek iránti fokozott bizalom. A legfelelősségteljesebb munkát bízzák rájuk, melynek minősége sok ember életét és közérzetét határozza meg. Számítógépek irányítják a vállalatok és atomerőművek technológiai folyamatait, repülőgépek és vonatok mozgását, pénzügyi tranzakciókat hajtanak végre, minősített információkat dolgoznak fel.
Az információk védelmének különféle lehetőségei vannak - a bejáratnál lévő biztonsági őrtől a matematikailag ellenőrzött módszerekig az adatok elrejtésére az ismerősök elől. Emellett beszélhetünk globális védelemről és annak egyedi vonatkozásairól: személyi számítógépek, hálózatok, adatbázisok védelme stb.
Meg kell jegyezni, hogy nincsenek teljesen biztonságos rendszerek. A rendszer megbízhatóságáról egyrészt csak bizonyos valószínűséggel, másrészt a jogsértők egy bizonyos kategóriájával szembeni védelemről beszélhetünk. Ennek ellenére előre láthatók a számítógépes rendszerbe való behatolások. A védekezés egyfajta versengés a védekezés és a támadás között: aki többet tud és hatékony intézkedéseket hoz, az nyer.
A bank automatizált információfeldolgozó rendszerének védelmének megszervezése egyetlen intézkedéscsomag, amelynek figyelembe kell vennie az információfeldolgozási folyamat összes jellemzőjét. A felhasználót a munkavégzés során okozott kellemetlenségek ellenére sok esetben feltétlenül szükséges lehet a védőfelszerelés a rendszer normál működéséhez. A fent említett kellemetlenségek közül a főbbek közé tartozik Yu.V. Gaikovich, A.S. Pershin. Elektronikus banki rendszerek biztonsága.-M.: Egyesült Európa, 1994.- S. 33:
Nehéz elképzelni egy modern bankot automatizált információs rendszer nélkül. A számítógépek egymással és a nagyobb teljesítményű számítógépekkel, valamint más bankok számítógépeivel való összekapcsolása is elengedhetetlen feltétele a bank sikeres működésének - túl sok a rövid időn belül végrehajtandó művelet .
Ugyanakkor az információs rendszerek a modern bankok egyik legsebezhetőbb oldalává válnak, vonzzák a behatolókat, mind a bank munkatársaiból, mind pedig kívülről. A banki információs rendszerekbe való beavatkozással összefüggő bűncselekményekből származó veszteségekre vonatkozó becslések nagyon eltérőek. Befolyásolják a számítási módszerek sokfélesége. Az átlagos banki lopás elektronikus pénzeszközök felhasználásával körülbelül 9000 dollár, és az egyik legnagyobb horderejű botrány 700 millió dollár eltulajdonítási kísérlete (First National Bank, Chicago).
Ezenkívül nem csak a közvetlen kár mértékét kell figyelembe venni, hanem a nagyon költséges intézkedéseket is, amelyeket a számítógépes rendszerekbe való sikeres betörési kísérletek után hajtanak végre. Tehát az egyik legszembetűnőbb példa a Bank of England titkos számláival végzett munka adatainak elvesztése 1999 januárjában. Ez a veszteség arra kényszerítette a bankot, hogy módosítsa az összes levelező számla kódját. Ezzel kapcsolatban az Egyesült Királyságban az összes rendelkezésre álló hírszerző és kémelhárító erőt riadókészültségbe vonták, hogy megakadályozzák az információ esetleges kiszivárgását, amely óriási károkat okozhat. A kormány szélsőséges intézkedéseket hozott annak megakadályozására, hogy kívülállók megismerjék azokat a számlákat és címeket, amelyekre a Bank of England több százmilliárd dollárt küld naponta. Ráadásul az Egyesült Királyságban jobban féltek attól a helyzettől, amikor az adatok a külföldi titkosszolgálatok rendelkezésére állnak. Ebben az esetben a Bank of England teljes pénzügyi tudósítói hálózata lelepleződött volna. A károkat néhány héten belül sikerült megszüntetni.
Adzhiev V. Mítoszok a szoftverbiztonságról: tanulságok híres katasztrófákból // Nyílt rendszerek.-1999. - 6. szám .-- C..21-24
A bankok által nyújtott szolgáltatások ma nagyrészt a bankok, bankok, ügyfeleik és kereskedelmi partnereik közötti elektronikus interakción alapulnak. Jelenleg a banki szolgáltatások elérése különböző távoli helyekről lehetséges, beleértve az otthoni terminálokat és az irodai számítógépeket. Ez a tény elmozdítja az embert a „zárt ajtók” fogalmától, amely a 60-as években jellemző volt a bankokra, amikor a számítógépeket a legtöbb esetben kötegelt üzemmódban használták segédeszközként, és nem volt kapcsolatuk a külvilággal.
Az automatizálási felszereltség szintje fontos szerepet játszik a bank tevékenységében, ezért közvetlenül befolyásolja pozícióját és bevételeit. A bankok közötti verseny erősödése miatt csökkenteni kell az elszámolási időt, bővíteni kell a kínált szolgáltatások körét és javítani kell a szolgáltatások minőségét. Minél rövidebb ideig tart az elszámolás a bank és az ügyfelek között, annál nagyobb lesz a bank forgalma, és ebből következően a profit. Emellett a bank gyorsabban tud majd reagálni a pénzügyi helyzet változásaira. A különféle banki szolgáltatások (elsősorban a készpénz nélküli fizetés lehetőségére utal a bank és ügyfelei között plasztikkártyás kártyával) jelentősen növelheti ügyfelei számát, és ennek eredményeként a profitot.
A banki információbiztonságnak a következő konkrét tényezőket kell figyelembe vennie:
A bankszektorban elkövetett bűncselekményeknek is megvannak a sajátosságai Gamza V.A. , Tkachuk I.B. Kereskedelmi bank biztonsága.- M ..: Egyesült Európa, 2000.- C..24:
A támadók általában saját számláikat használják, ahová az ellopott összegeket átutalják. A legtöbb bűnöző nem tudja, hogyan kell tisztára mosni az ellopott pénzt. Tudni, hogyan kell bűncselekményt elkövetni, és tudni, hogyan kell pénzt szerezni, nem ugyanaz.
A legtöbb számítógépes bűncselekmény kicsinyes. Az általuk okozott kár 10 000 és 50 000 dollár között mozog.
A sikeres számítógépes bűnözéshez általában nagyszámú banki tranzakcióra van szükség (akár több százra). Nagy összegek azonban néhány tranzakcióval átutalhatók.
A legtöbb támadó hivatalnok. Bár a bank legfelsőbb munkatársai is elkövethetnek bűncselekményeket, és sokkal több kárt okoznak a banknak, az ilyen esetek ritkák.
A számítógépes bűncselekmények nem mindig csúcstechnológiájúak. Elegendő az adatok hamisítása, az ASOIB környezet paramétereinek megváltoztatása stb., és ezek a műveletek a karbantartók rendelkezésére állnak.
Sok kiberbûnözõ azzal magyarázza tettét, hogy éppen hitelt vesz fel egy banktól, utólagos visszafizetéssel. Azonban általában nincs „visszatérés”.
A bankok információfeldolgozására szolgáló automatizált rendszerek védelmének sajátossága az általuk megoldott feladatok sajátosságaiból fakad:
Általában az ASOIB folyamatosan érkező kérések nagy áramlását dolgozza fel valós időben, amelyek mindegyikének feldolgozása nem igényel sok erőforrást, de együttesen csak egy nagy teljesítményű rendszerrel lehet feldolgozni;
Az ASOIB olyan bizalmas információkat tárol és dolgoz fel, amelyeket nem szánnak a nagyközönségnek. Hamisítása vagy kiszivárogtatása súlyos (a bank vagy ügyfelei számára) következményekkel járhat. Ezért az ASOIB arra van ítélve, hogy viszonylag zárt maradjon, meghatározott szoftverek felügyelete alatt dolgozzon, és nagy figyelmet fordít azok biztonságának biztosítására;
Az ASOIB másik jellemzője a megnövekedett követelmények a szoftverek és hardverek megbízhatóságával szemben. Emiatt sok modern ASOIB a számítógépek úgynevezett hibatűrő architektúrája felé hajlik, amely lehetővé teszi az információk folyamatos feldolgozását különféle meghibásodások és hibák esetén is.
Az ASOI bankok általi használata összefügg ezen rendszerek védelmének sajátosságaival, ezért a bankoknak nagyobb figyelmet kell fordítaniuk automatizált rendszereik védelmére.
Az első fejezet következtetései:
A banki tevékenység mindig is nagy mennyiségű bizalmas adat feldolgozásával és tárolásával járt. Először is ezek személyes adatok az ügyfelekről, a betéteikről és az összes végrehajtott műveletről.
A hitelintézetekben tárolt és feldolgozott összes kereskedelmi információ sokféle kockázatnak van kitéve vírusokkal, hardverhibákkal, operációs rendszer hibáival stb. De ezek a problémák nem okozhatnak komoly károkat. A napi adatmentés, amely nélkül egyetlen vállalkozás információs rendszerének működése elképzelhetetlen, minimálisra csökkenti a helyrehozhatatlan információvesztés kockázatát. Ezenkívül az e fenyegetésekkel szembeni védekezési módszerek jól kidolgozottak és széles körben ismertek. Ezért előtérbe kerülnek a bizalmas információkhoz való jogosulatlan hozzáféréssel (NSD) kapcsolatos kockázatok.
Az illetéktelen hozzáférés valóság
Manapság három leggyakoribb módszer létezik a bizalmas információk eltulajdonítására. Először is, fizikai hozzáférés a tárolási és feldolgozási helyekhez. Sok lehetőség van itt. Például a behatolók éjszaka betörhetnek egy banki irodába, és ellophatják az összes adatbázissal rendelkező merevlemezt. Akár fegyveres razzia is lehetséges, aminek nem a pénz a célja, hanem az információ. Nem kizárt az a helyzet, hogy a banki alkalmazott maga viheti ki az információhordozót a területről.
Másodszor, a biztonsági mentések használata. A legtöbb bank rendelkezik szalagos biztonsági mentési rendszerrel a kritikus adatokhoz. Az általuk készített másolatokat mágnesszalagokra rögzítik, amelyeket aztán külön helyen tárolnak. A hozzájuk való hozzáférés sokkal nyugodtabb. Szállításuk és tárolásuk során viszonylag sok ember tud róluk másolatot készíteni. Az érzékeny adatok biztonsági mentésével kapcsolatos kockázatokat nem lehet alábecsülni. Például a legtöbb szakértő biztos abban, hogy az Orosz Föderáció Központi Bankjának 2005-ben eladásra került kiküldetési adatbázisait pontosan a mágnesszalagokról vett másolatoknak köszönhetően lopták el. A világgyakorlatban számos ilyen esemény ismert. Különösen tavaly szeptemberben a Chase Card Services hitelkártya-szolgáltató, a JPMorgan Chase & Co. részlege alkalmazottai tévedésből kidobtak öt olyan szalagot, amelyek 2,6 millió Circuit City hitelszámla-tulajdonos adatait tartalmazták.
Harmadszor, a bizalmas információk kiszivárogtatásának legvalószínűbb módja a banki alkalmazottak illetéktelen hozzáférése. Ha csak szabványos operációs rendszer-eszközöket használnak a jogok elkülönítésére, a felhasználóknak gyakran lehetőségük van közvetetten (bizonyos szoftverek segítségével) átmásolni a teljes adatbázist, amellyel dolgoznak, és kivonják azokat a cégből. Néha az alkalmazottak ezt rosszindulatú szándék nélkül teszik, csak azért, hogy otthon dolgozzanak információval. Az ilyen cselekmények azonban súlyosan megsértik a biztonsági politikát, és a bizalmas adatok nyilvánosságra hozatalának okai lehetnek (és azzá válhatnak!).
Ezen túlmenően bármely bankban van egy csoport magas jogosultságokkal rendelkező ember a helyi hálózaton. Rendszergazdákról beszélünk. Egyrészt szükségük van rá a hivatalos feladataik ellátásához. De másrészt lehetőségük van bármilyen információhoz hozzáférni, és "elfedni a nyomaikat".
Így a banki információk jogosulatlan hozzáféréssel szembeni védelmét szolgáló rendszernek legalább három alrendszerből kell állnia, amelyek mindegyike védelmet nyújt a saját típusú fenyegetésekkel szemben. Ez egy alrendszer az adatokhoz való fizikai hozzáférés ellen, egy a biztonsági mentések biztonságát biztosító alrendszer és egy a bennfentesek elleni védelem alrendszere. És tanácsos egyiket sem elhanyagolni, hiszen minden fenyegetés bizalmas adatok nyilvánosságra hozatalát okozhatja.
A törvény nincs a bankoknak írva?
Jelenleg a bankok tevékenységét a bankokról és a banki tevékenységekről szóló szövetségi törvény szabályozza. Bevezeti többek között a „banktitok” fogalmát. Eszerint minden hitelintézet köteles gondoskodni az ügyfelek betéteire vonatkozó valamennyi adat bizalmas kezeléséről. Ő viseli a felelősséget azok nyilvánosságra hozataláért, beleértve az információszivárgás által okozott károk megtérítését is. Ugyanakkor a banki információs rendszerek biztonságát illetően nincsenek követelmények. Ez azt jelenti, hogy a bankok minden döntést a kereskedelmi adatok védelmével kapcsolatban saját maguk hozzák meg, szakembereik vagy külső (például információbiztonsági auditot végző) cégeik tapasztalatai alapján. Az egyetlen ajánlás az Orosz Föderáció Központi Bankjának szabványa „Az Orosz Föderáció bankrendszerének szervezeteinek információbiztonságának biztosítása. Általános rendelkezések ". 2004-ben jelent meg először, majd 2006-ban elfogadták az új változatát. A tanszéki dokumentum elkészítésekor és véglegesítésekor a jelenlegi orosz és nemzetközi információbiztonsági szabványokat használtuk.
Az Orosz Föderáció Központi Bankja csak ajánlani tudja más bankoknak, de nem ragaszkodhat a kötelező végrehajtáshoz. Ezenkívül a szabványban kevés olyan egyértelmű követelmény található, amely meghatározza az egyes termékek kiválasztását. Természetesen fontos, de jelenleg nincs komoly gyakorlati jelentősége. Például a tanúsított termékekről ez áll: "... használható tanúsított vagy engedélyezett eszközök az információk illetéktelen hozzáféréstől való védelmére." Nincs megfelelő lista.
Fel van sorolva a szabványban és a banki információvédelem kriptográfiai eszközeire vonatkozó követelményekben. És itt már van egy többé-kevésbé világos meghatározás: "A CIPF-et olyan algoritmusok alapján kell végrehajtani, amelyek megfelelnek az Orosz Föderáció nemzeti szabványainak, a partnerrel kötött szerződés feltételeinek és (vagy) a szervezet szabványainak. ." A kriptográfiai modul GOST 28147-89 szabványnak való megfelelőségét tanúsítással erősítheti meg. Ezért a titkosítási rendszerek bankban történő használatakor tanácsos az Orosz Föderáció FSB-je által hitelesített szoftver- vagy hardveres titkosítási szolgáltatókat használni, vagyis olyan külső modulokat, amelyek csatlakoznak a szoftverhez, és magát a titkosítási folyamatot hajtják végre.
Tavaly júliusban elfogadták az Orosz Föderáció "A személyes adatokról" szóló szövetségi törvényét, amely 2007. január 1-jén lépett hatályba. Egyes szakértők összefüggésbe hozták vele a banki biztonsági rendszerekre vonatkozó konkrétabb követelmények megjelenését, mivel a bankok olyan szervezetek, amelyek személyes adatokat dolgoznak fel. Maga a törvény azonban, amely általában nagyon fontos, jelenleg nem alkalmazható a gyakorlatban. A probléma abban rejlik, hogy hiányoznak az adatvédelmi szabványok és a hatóságok, amelyek ellenőrizni tudnák azok végrehajtását. Vagyis kiderült, hogy jelenleg a bankok szabadon választhatnak rendszereket a kereskedelmi információk védelmére.
Védelem a fizikai hozzáférés ellen
A bankok hagyományosan nagy figyelmet fordítanak a működő irodák, raktárirodák stb. fizikai biztonságára. Mindez csökkenti a kereskedelmi információkhoz való jogosulatlan hozzáférés kockázatát fizikai hozzáférés révén. A banki irodák és technikai helyiségek azonban, ahol a szerverek találhatók, általában nem különböznek a védelem mértékében más cégek irodáitól. Ezért a leírt kockázatok minimalizálása érdekében kriptográfiai védelmi rendszert kell alkalmazni.
Manapság számos olyan segédprogram létezik a piacon, amelyek adattitkosítást végeznek. A banki feldolgozásuk sajátosságai azonban további követelményeket támasztanak a megfelelő szoftverrel szemben. Először is a transzparens titkosítás elvét kell megvalósítani a kriptográfiai védelmi rendszerben. Használata során a főtárban lévő adatok mindig csak kódolt formában vannak. Ezenkívül ez a technológia lehetővé teszi az adatokkal végzett rendszeres munka költségeinek minimalizálását. Nem kell minden nap visszafejteni és titkosítani őket. Az információkhoz való hozzáférés a szerverre telepített speciális szoftver segítségével történik. Hozzáféréskor automatikusan visszafejti az információkat, és titkosítja, mielőtt a merevlemezre írná. Ezeket a műveleteket közvetlenül a szerver RAM-jában hajtják végre.
Másodszor, a banki adatbázisok nagyon terjedelmesek. Így egy kriptográfiai információvédelmi rendszernek nem virtuális, hanem valós merevlemez-partíciókkal, RAID-tömbökkel és más szerver adathordozókkal, például SAN-tárolókkal kell működnie. Az a tény, hogy a rendszerhez virtuális lemezként csatlakoztatható tárolófájlokat nem úgy tervezték, hogy nagy mennyiségű adattal működjenek. Abban az esetben, ha az ilyen fájlból létrehozott virtuális lemez nagy méretű, amikor akár többen is hozzáférnek egyidejűleg, akkor az információ olvasási és írási sebességének jelentős csökkenése figyelhető meg. Több tucat ember munkája egy nagy konténeres dossziéval puszta kínszenvedéssé fajulhat. Ne feledje továbbá, hogy ezek az objektumok vírusok, fájlrendszer-hibák stb. miatti károsodásnak vannak kitéve. Végül is ezek közönséges fájlok, de meglehetősen nagy méretűek. És még egy apró változtatás is ellehetetlenítheti a benne található összes információ dekódolását. Mindkét kötelező követelmény jelentősen leszűkíti a biztonság megvalósítására alkalmas termékek körét. Valójában ma már csak néhány ilyen rendszer van az orosz piacon.
Nem szükséges részletesen megvizsgálni az információk kriptográfiai védelmét szolgáló szerverrendszerek műszaki jellemzőit, mivel az egyik korábbi számban már összehasonlítottuk ezeket a termékeket. (Stoljarov N., Davletkhanov M. UTM-védelem.) De érdemes megjegyezni az ilyen rendszerek néhány jellemzőjét, amelyek jelenléte kívánatos a bankok számára. Az első a használt kriptográfiai modul már említett tanúsításához kapcsolódik. A legtöbb bank már rendelkezik a megfelelő szoftverrel vagy hardverrel. Ezért a szerver információvédelmi rendszerének biztosítania kell azok összekapcsolásának és felhasználásának lehetőségét. Az információbiztonsági rendszerrel szemben támasztott második speciális követelmény az iroda és/vagy szerverterem fizikai biztonsági rendszerébe való integrálhatóság. Ez lehetővé teszi az információk védelmét a lopással, hackeléssel stb. kapcsolatos jogosulatlan hozzáféréstől.
A bankoknak kiemelt figyelmet kell fordítaniuk az információk biztonságára, hiszen az valójában az ügyfelek pénze. Ezért a védelmi rendszernek olyan speciális jellemzőkkel kell rendelkeznie, amelyek minimálisra csökkentik az elvesztésének kockázatát. Az egyik legfigyelemreméltóbb a merevlemezen lévő rossz szektorok észlelésének funkciója. Ezen túlmenően nagy jelentőséggel bír a kezdeti lemeztitkosítási, visszafejtési és újratitkosítási folyamatok szüneteltetésének és megszakításának lehetősége. Ezek meglehetősen hosszadalmas eljárások, amelyek során minden hiba az összes adat teljes elvesztésével fenyeget.
Az emberi tényező nagyon nagy hatással van a bizalmas információkhoz való jogosulatlan hozzáféréssel járó kockázatokra. Ezért kívánatos, hogy a védelmi rendszer lehetőséget biztosítson egy ilyen kapcsolat csökkentésére. Ezt a titkosítási kulcsok – intelligens kártyák vagy USB-kulcsok – megbízható tárolásával érik el. Az optimális, ha ezek a tokenek a termékben szerepelnek, ez nem csak a költségek optimalizálását teszi lehetővé, hanem a szoftver és a hardver teljes kompatibilitását is biztosítja.
Egy másik fontos funkció, amely minimálisra csökkenti az emberi tényező befolyását a védelmi rendszer megbízhatóságára, a kulcskérdés. Lényege, hogy a titkosítási kulcsot több részre osztják, amelyek mindegyikét egy felelős alkalmazott kapja meg használatra. Zárt lemez csatlakoztatásához adott számú alkatrész szükséges. Sőt, kisebb is lehet, mint a kulcselemek teljes száma. Ez a megközelítés lehetővé teszi az adatok védelmét a felelős munkatársak általi visszaélésekkel szemben, valamint biztosítja a bank munkájához szükséges rugalmasságot.
Biztonsági mentés
A bankban tárolt összes információ rendszeres biztonsági mentése feltétlenül szükséges. Lehetővé teszi a veszteségek jelentős csökkentését olyan problémák esetén, mint például vírusok által okozott adatsérülés, hardverhiba stb. Ugyanakkor növeli az illetéktelen hozzáféréssel járó kockázatokat. A gyakorlat azt mutatja, hogy azt az adathordozót, amelyre a mentéseket rögzítik, nem egy szerverszobában, hanem egy másik helyiségben vagy akár épületben kell tárolni. Ellenkező esetben tűz vagy más súlyos esemény esetén mind az adatok, mind az archívumaik helyrehozhatatlanul elveszhetnek. Csak a kriptográfia képes megbízhatóan megvédeni a biztonsági másolatokat az illetéktelen használattól. Ebben az esetben a titkosítási kulcsot otthon tartva a biztonsági tiszt biztonságosan átadhatja az adathordozót az archívumokkal együtt a műszaki személyzetnek.
A biztonsági mentések kriptográfiai védelmének megszervezésének fő nehézsége az, hogy szét kell választani az adatarchiválás kezelésével kapcsolatos felelősségeket. A rendszergazdának vagy más technikusnak magát a biztonsági mentési folyamatot kell konfigurálnia és végrehajtania. Az információk titkosítását egy felelős alkalmazottnak - egy biztonsági tisztnek - kell kezelnie. Meg kell érteni, hogy a redundancia az esetek túlnyomó többségében automatikusan történik. Ezt a problémát csak úgy lehet megoldani, ha a mentéskezelő rendszer és az adatokat író eszközök (streamerek, DVD-meghajtók stb.) közé kriptográfiai védelmi rendszert "beágyaznak".
Így a kriptográfiai termékeknek ahhoz, hogy bankokban is használhatók legyenek, együtt kell tudniuk működni a különféle biztonsági mentések adathordozóra írásához használt eszközökkel is: streamerekkel, CD- és DVD-meghajtókkal, cserélhető merevlemezekkel stb.
Ma háromféle termék létezik, amelyek célja a biztonsági másolatokhoz való jogosulatlan hozzáféréssel járó kockázatok minimalizálása. Az első speciális eszközöket tartalmaz. Az ilyen hardvermegoldások számos előnnyel rendelkeznek, beleértve az információk megbízható titkosítását és a nagy sebességű működést. Van azonban három jelentős hátrányuk, amelyek megakadályozzák, hogy bankokban használják őket. Először is: nagyon magas költségek (több tízezer dollár). Másodszor: lehetséges problémák az oroszországi importtal (nem szabad elfelejtenünk, hogy kriptográfiai eszközökről beszélünk). A harmadik hátrány, hogy nem lehet hozzájuk csatlakoztatni külső tanúsított kriptoszolgáltatókat. Ezek a táblák csak a bennük hardver szinten megvalósított titkosítási algoritmusokkal működnek.
A biztonsági másolatok kriptográfiai védelmét szolgáló védelmi rendszerek második csoportja olyan modulokból áll, amelyeket a szoftver- és hardverfejlesztők kínálnak ügyfeleiknek biztonsági mentés céljából. Léteznek ezen a területen az összes legismertebb termékhez: ArcServe, Veritas Backup Exec stb. Igaz, ezeknek is megvannak a sajátosságai. A legfontosabb dolog az, hogy csak a "saját" szoftverrel vagy meghajtóval dolgozzon. Eközben a bank információs rendszere folyamatosan fejlődik. És lehetséges, hogy a tartalék rendszer cseréje vagy bővítése további költségeket igényelhet a védelmi rendszer módosításához. Ráadásul az ebbe a csoportba tartozó termékek többsége régi lassú titkosítási algoritmusokat valósít meg (például 3DES), nincsenek kulcskezelő eszközök, és nincs lehetőség külső titkosítási szolgáltatók csatlakoztatására.
Mindez arra kényszerít bennünket, hogy fokozott figyelmet fordítsunk a harmadik csoportba tartozó mentések kriptográfiai védelmére. Ez magában foglalja a speciálisan kifejlesztett szoftvereket, szoftvereket és hardver- és hardvertermékeket, amelyek nem kapcsolódnak meghatározott adatarchiváló rendszerekhez. Az információrögzítő eszközök széles skáláját támogatják, ami lehetővé teszi azok használatát a bank egészében, beleértve annak minden fiókját is. Ez biztosítja, hogy az alkalmazott védelmek konzisztensek legyenek, és a működési költségek minimálisak legyenek.
Meg kell azonban jegyezni, hogy minden előnyük ellenére a harmadik csoportból nagyon kevés termék van a piacon. Ennek valószínűleg az az oka, hogy nincs nagy kereslet a biztonsági mentések kriptográfiai védelmi rendszerei iránt. Amint a bankok és más nagy szervezetek vezetése ráébred az üzleti információk archiválásával járó kockázatokra, a piac szereplőinek száma növekedni fog.
Belső védelem
Az információbiztonság területén a közelmúltban végzett kutatások, mint például az éves CSI/FBI Computer Crime And Security Survey kimutatták, hogy a vállalatok pénzügyi veszteségei a legtöbb fenyegetés miatt évről évre csökkennek. Azonban több kockázat is fennáll, amelyekből származó veszteségek egyre nőnek. Ezek egyike a bizalmas információ szándékos ellopása, illetve azok kezelési szabályainak megsértése azon munkavállalók részéről, akiknek a kereskedelmi adatokhoz való hozzáférése hivatali feladataik ellátásához szükséges. Bennfenteseknek hívják őket.
Az esetek túlnyomó többségében a bizalmas információk ellopása mobil adathordozók segítségével történik: CD-k és DVD-k, ZIP-eszközök és ami a legfontosabb, mindenféle USB-meghajtó. A tömeges terjesztésük vezetett a bennfentes tudás virágzásához szerte a világon. A legtöbb bank vezetője tisztában van azzal, hogy mi fenyegethet például ügyfeleik személyes adatait tartalmazó adatbázis, vagy még inkább a számláikon végrehajtott tranzakciók bűnözői struktúrák kezébe kerülése. Az esetleges információlopást pedig a rendelkezésükre álló szervezési módszerekkel próbálják kezelni.
A szervezési módszerek azonban ebben az esetben hatástalanok. Ma már lehetséges megszervezni az információátvitelt a számítógépek között miniatűr pendrive, mobiltelefon, mp3 lejátszó, digitális fényképezőgép segítségével... Természetesen meg lehet tiltani, hogy mindezen eszközöket bevigyék az irodába. , de ez egyrészt negatív hatással lesz az alkalmazottakkal fenntartott kapcsolatokra, másrészt még mindig nagyon nehéz igazán hatékony ellenőrzést kialakítani az emberek felett – a bank nem „postafiók”. És még az sem segít, ha a számítógépeken minden olyan eszközt letiltunk, amelyekkel információkat lehet írni külső adathordozókra (FDD és ZIP lemezek, CD- és DVD-meghajtók stb.), illetve az USB-portok. Végül is az előbbiek a munkához szükségesek, míg az utóbbiak különféle perifériákhoz csatlakoznak: nyomtatók, szkennerek stb. És senki sem akadályozhatja meg, hogy egy percre is kikapcsolja a nyomtatót, flash meghajtót helyezzen a felszabaduló portba, és fontos információkat másoljon rá. Természetesen találhatunk eredeti védekezési módszereket. Például az egyik bankban kipróbálták ezt a problémamegoldási módszert: az USB-port és a kábel találkozási pontját epoxigyantával töltötték meg, ez utóbbit szorosan "kötözték" a számítógéphez. De szerencsére ma már léteznek korszerűbb, megbízhatóbb és rugalmasabb ellenőrzési módszerek.
A bennfentesekkel kapcsolatos kockázatok minimalizálásának leghatékonyabb eszköze a speciális szoftver, amely dinamikusan kezeli a számítógépen található összes eszközt és portot, amely információk másolására használható. Munkájuk elve a következő. Minden egyes felhasználói csoporthoz vagy minden egyes felhasználóhoz külön-külön engedélyek vannak beállítva a különböző portok és eszközök használatára. Az ilyen típusú szoftverek legnagyobb előnye a rugalmasság. Korlátozásokat írhat elő bizonyos típusú eszközökre, azok modelljére és egyedi példányaira. Ez nagyon összetett hozzáférési jog-elosztási szabályzatok megvalósítását teszi lehetővé.
Például egyes alkalmazottak számára engedélyezhető az USB-portokhoz csatlakoztatott nyomtatók és szkennerek használata. Az ehhez a porthoz csatlakoztatott összes többi eszköz elérhetetlen marad. Ha a bank token alapú felhasználó-hitelesítési rendszert használ, akkor a beállításokban megadhatja a használt kulcsmodellt. Ekkor a felhasználók csak a cég által vásárolt eszközöket használhatják, a többi pedig használhatatlan lesz.
A fent leírt védelmi rendszerek elve alapján megértheti, hogy mely pontok fontosak a rögzítőeszközök és számítógépes portok dinamikus blokkolását megvalósító programok kiválasztásakor. Először is a sokoldalúság. A védelmi rendszernek le kell fednie a lehetséges portok és bemeneti-kimeneti eszközök teljes körét. Ellenkező esetben a kereskedelmi információk ellopásának kockázata elfogadhatatlanul magas marad. Másodszor, a kérdéses szoftvernek rugalmasnak kell lennie, és lehetővé kell tennie a szabályok létrehozását az eszközökről szóló nagy mennyiségű információ felhasználásával: típusuk, modellgyártók, az egyes példányok egyedi számai stb. Harmadszor pedig a bennfentes védelmi rendszernek integrálhatónak kell lennie a bank információs rendszerével, különösen az Active Directoryval. Ellenkező esetben az adminisztrátornak vagy biztonsági tisztnek két adatbázist kell karbantartania a felhasználókról és a számítógépekről, ami nem csak kényelmetlen, de növeli a hibaveszélyt is.
Összegezve
Tehát ma már vannak olyan termékek a piacon, amelyek segítségével bármely bank megbízható rendszert tud kialakítani az információk illetéktelen hozzáféréssel és visszaélésekkel szembeni védelmére. Igaz, amikor kiválasztják őket, nagyon óvatosnak kell lenni. Ideális esetben ezt saját, megfelelő szintű szakembereink végezzék. Harmadik felek szolgáltatásainak igénybevétele megengedett. Ebben az esetben azonban előfordulhat olyan helyzet, amikor a bankot nem a megfelelő szoftverrel, hanem a beszállító számára előnyös szoftverrel fogják ügyesen rákényszeríteni. Ráadásul a hazai információbiztonsági tanácsadási piac gyerekcipőben jár.
Eközben a helyes választás egyáltalán nem nehéz. Elég, ha felvértezi magát az általunk felsorolt kritériumokkal, és alaposan tanulmányozza a biztonsági rendszerek piacát. De van itt egy "csapda", amire emlékezni kell. Ideális esetben egységes lenne a bank információbiztonsági rendszere. Azaz minden alrendszert integrálni kell a meglévő információs rendszerbe, és lehetőleg közös menedzsmenttel kell rendelkezni. Ellenkező esetben elkerülhetetlen a védelem ügyintézésének megnövekedett munkaerőköltsége és a gazdálkodási hibákból adódó kockázatok növekedése. Ezért a ma leírt három védelmi alrendszer felépítéséhez jobb, ha egy fejlesztő által kiadott termékeket választunk. Ma Oroszországban vannak olyan cégek, amelyek mindent létrehoznak, ami ahhoz szükséges, hogy megvédjék a banki információkat az illetéktelen hozzáféréstől.
A banki tevékenységek nagy mennyiségű információ feldolgozásához kapcsolódnak, amelyek nagy része bizalmas ügyféladatok.
Ide tartoznak a felhasználók személyes adatai, dokumentumaik másolatai, számlaszámai, tranzakciókra, tranzakciókra vonatkozó adatok stb.
Az információval való munka során fontos, hogy az ne kerüljön behatolók kezébe, ne változzon meg vagy vesszen el.
Figyelembe véve a bank információs környezetében tárolt archívumok fontosságát, ezek értéke és a banki információk védelmével szembeni követelmények jelentősen megnőttek.
Az adatbiztonság fenntartásának nehézsége abban rejlik, hogy a bankoknak biztosítaniuk kell ezen adatok elérhetőségét felhasználóik számára, és meg kell akadályozniuk az idegenek és behatolók információszerzési kísérleteit.
E feladat sikeres végrehajtásához olyan intézkedésekre van szükség, amelyek célja az adatok bizalmas kezelése, a feldolgozott információk biztonsága és biztonsága, valamint az adatokhoz való problémamentes hozzáférés a pénzügyi tranzakciók során.
Ahhoz, hogy megértse, milyen szerepet játszik az információbiztonság a banki tevékenységben, meg kell értenie, mely banki adatok igényelnek védelmet, és miért.
A banki információbiztonság fontossága
A banki adatok egy olyan információhalmazt tartalmaznak, amely lehetővé teszi egy pénzintézet információs környezetben való képviseletét, valamint olyan adatokat, amelyek lehetővé teszik pénzügyi tranzakciók lebonyolítását egy ügyfél és egy bank között, valamint több ügyfél között egy bankintézetet igénybe véve. pénzügyi közvetítőként.
Kétféle banki információ létezik - ezek azok az adatok, amelyeket az információs környezetben használnak fel arra, hogy egy pénzintézet tevékenységét képviseljék ügyfelei számára, valamint egy pénzügyi intézmény ügyfeleinek adathalmaza, jogi és fizikai.
Annak ellenére, hogy az egyik információ nyitva van, a másik pedig zárt, mindkettő megbízható védelmet igényel.
Mint látható, a banki rendszerek információvédelme nagyon fontos szempont egy pénzintézet tevékenységében, aminek mindig kulcsfontosságúnak kell lennie a bankok előtt álló nagy feladatsor között.
A banki adatokhoz való jogosulatlan hozzáférés módjai közül manapság a következők a leggyakoribbak.
A fontos adatok elvesztésével járó fenti veszélyek figyelembevételével meg kell választani a banki információk védelmének módszereit és eszközeit.
A legtöbb bank kellő figyelmet fordít információi fizikai biztonságának szintjére.
Ez a folyamat azzal kezdődik, hogy az információs archívumok tárolására és a banki szerverek telepítésére szolgáló helyek magasabb szintű védelmet biztosítanak a behatolás ellen, és lehetőség nyílik arra, hogy harmadik felek ott tartózkodjanak.
Emellett aktív munka folyik a bank és ügyfelei bizalmas adataihoz hozzáférő személyzet kiválasztásán is. Ezen tényezők alkalmazása jelentősen csökkenti az archívumok ellopásának valószínűségét, de nem zárja ki teljesen.
Az információk biztonsági mentése és archívumban való tárolása fontos lépés a szükséges adatok megőrzésében.
De annak elkerülése érdekében, hogy behatolók kezébe kerüljenek, ennek a folyamatnak titkosítási rendszerekkel kell lezajlania.
A modern kriptográfiai védelem használata nullára csökkenti annak valószínűségét, hogy valaki még az ellopott információkat is felhasználja.
Manapság számos különféle szoftvertermék létezik, amelyek titkosítást biztosítanak az archívumba való átvitelkor.
Az egész folyamat teljesen automatizált, és nem jár jelentős pénzügyi költségekkel a bank számára, és nem igényel további alkalmazottakat.
Az is fontos, hogy a titkosított archívum létrehozása során a fizikai meghajtókra épülő tárolókat használják, ne a virtuálisakra.
Ez egy újabb szintű információbiztonságot garantál, mivel a virtuális tárhely könnyebben feltörhető, mint a valódi.
A bennfentes információk kiszivárogtatásának megakadályozása néha a legnehezebb. Különböző és szoftveres eszközökkel való védelme csak a fele a megoldásnak az adott feladatra. Ebben az esetben az emberi tényező kulcsszerepet játszik.
Az alkalmazottakon keresztül nagyon gyakran történik olyan fontos adatok elvesztése, amelyek utólag hatással vannak a bank jövőbeni és jelenlegi tevékenységére.
Ezért a személyi állomány kiválasztása, a belső biztonsági szolgálat eredményes munkája, valamint a belépést korlátozó rendszer alkalmazása minimalizálja a bennfentes információ elvesztésének kockázatát.
A banki információk védelmének fő módjait fentebb tárgyaltuk.
A 100%-os védelme érdekében fontos az összes létező módszer együttes alkalmazása.
Tekintettel arra, hogy az utóbbi időben a kiberbűnözés nagyon erőteljesen fejlődik, és egyre nehezebb az információk védelme, fontos, hogy ebbe a folyamatba bevonják a szakterületük szakembereit.
Segítenek a megfelelő hardver és szoftver kiválasztásában, valamint a megfelelő adatvédelmi stratégia kialakításában a bank sajátos információs környezetében.
