Mahasiswa, mahasiswa pascasarjana, ilmuwan muda yang menggunakan basis pengetahuan dalam studi dan pekerjaan mereka akan sangat berterima kasih kepada Anda.
Diposting pada http://www.allbest.ru/
Kementerian Pendidikan Umum dan Profesional Wilayah Rostov
LEMBAGA PENDIDIKAN ANGGARAN NEGARA PENDIDIKAN MENENGAH DAERAH ROSTOV
"Sekolah Tinggi Komunikasi dan Informatika Rostov-on-Don"
Dengan disiplin: "Keamanan Informasi"
Subyek: Perlindungan informasi bank
Dilakukan oleh seorang siswa
Kladovikov V.S.
Grup PO-44
Perangkat Lunak Khusus 23010551
komputer dan sistem otomatis
Pemimpin: Semergey S.V.
pengantar
1. Fitur keamanan informasi bank
2. Keamanan sistem pemrosesan informasi otomatis di bank (ASOIB)
3. Keamanan pembayaran elektronik
4. Keamanan pembayaran pribadi individu
Kesimpulan
Aplikasi
pengantar
Sejak awal, bank selalu membangkitkan minat kriminal. Dan minat ini dikaitkan tidak hanya dengan penyimpanan dana di lembaga kredit, tetapi juga dengan fakta bahwa informasi penting dan seringkali rahasia tentang kegiatan keuangan dan ekonomi banyak orang, perusahaan, organisasi, dan bahkan seluruh negara bagian terkonsentrasi di bank. Saat ini, sebagai akibat dari meluasnya pembayaran elektronik, kartu plastik, jaringan komputer, dana dari kedua bank dan klien mereka telah menjadi objek serangan informasi. Siapa pun dapat mencoba mencuri - Anda hanya perlu komputer yang terhubung ke Internet. Selain itu, ini tidak perlu secara fisik memasuki bank, Anda dapat "bekerja" dan ribuan kilometer darinya.
Masalah inilah yang sekarang paling mendesak dan paling sedikit dipelajari. Jika dalam memastikan keamanan informasi fisik dan klasik, pendekatan yang mapan telah lama dikembangkan (meskipun pengembangan juga terjadi di sini), maka sehubungan dengan perubahan radikal yang sering terjadi dalam teknologi komputer, metode keamanan sistem pemrosesan informasi otomatis bank ( ASOIB) memerlukan pembaruan konstan. Seperti yang ditunjukkan oleh praktik, tidak ada sistem komputer kompleks yang tidak mengandung kesalahan. Dan karena ideologi membangun ASOIB besar secara teratur berubah, mengoreksi kesalahan yang ditemukan dan "lubang" dalam sistem keamanan tidak cukup lama, karena sistem komputer baru membawa masalah baru dan kesalahan baru, sehingga perlu untuk membangun kembali sistem keamanan di cara baru.
Menurut pendapat saya, semua orang tertarik dengan kerahasiaan data pribadi mereka yang diberikan kepada bank. Berdasarkan hal ini, menulis esai dan mempelajari masalah ini, menurut saya, tidak hanya menarik, tetapi juga sangat bermanfaat.
1. Fitur keamanan informasi bank
Informasi perbankan selalu menjadi objek perhatian semua jenis penyusup. Setiap kejahatan perbankan dimulai dengan kebocoran informasi. Sistem perbankan otomatis adalah saluran untuk kebocoran tersebut. Sejak awal pengenalan sistem perbankan otomatis (ABS), mereka menjadi objek perambahan kriminal.
Misalnya, diketahui bahwa pada Agustus 1995, ahli matematika Rusia berusia 24 tahun Vladimir Levin ditangkap di Inggris Raya, yang, menggunakan komputer rumahnya di St. Petersburg, berhasil menembus sistem perbankan salah satu bank Amerika terbesar. , Citibank, dan mencoba menarik uang dalam jumlah besar dari rekeningnya. Menurut kantor Citibank Moskow, sampai saat itu, belum ada yang berhasil. Layanan keamanan Citibank mengetahui bahwa mereka mencoba mencuri $ 2,8 juta dari bank, tetapi sistem pengontrol menemukan ini tepat waktu dan memblokir akun. Mereka berhasil mencuri hanya $400 ribu.
Di Amerika Serikat, jumlah kerugian tahunan lembaga perbankan dari penggunaan ilegal informasi komputer, menurut para ahli, dari 0,3 hingga 5 miliar dolar. Informasi merupakan salah satu aspek dari masalah umum keamanan perbankan.
Dalam hal ini, strategi keamanan informasi bank sangat berbeda dengan strategi serupa dari perusahaan dan organisasi lain. Hal ini terutama karena sifat spesifik dari ancaman, serta aktivitas publik bank, yang dipaksa untuk membuat akses ke rekening cukup mudah untuk kenyamanan pelanggan.
Perusahaan biasa membangun keamanan informasinya hanya berdasarkan kisaran sempit ancaman potensial - terutama melindungi informasi dari pesaing (dalam realitas Rusia, tugas utamanya adalah melindungi informasi dari otoritas pajak dan komunitas kriminal untuk mengurangi kemungkinan pelanggaran yang tidak terkendali. peningkatan pembayaran pajak dan pemerasan). Informasi semacam itu hanya menarik bagi lingkaran sempit orang dan organisasi yang berkepentingan dan jarang cair, mis. dapat diubah ke dalam bentuk uang.
Keamanan informasi bank harus mempertimbangkan faktor-faktor khusus berikut:
1. Informasi yang disimpan dan diproses dalam sistem perbankan adalah uang riil. Berdasarkan informasi komputer, pembayaran dapat dilakukan, pinjaman dapat dibuka, jumlah yang signifikan dapat ditransfer. Dapat dimengerti bahwa manipulasi ilegal atas informasi tersebut dapat menyebabkan kerugian serius. Fitur ini secara dramatis memperluas lingkaran penjahat yang merambah bank (berbeda dengan, misalnya, perusahaan industri, yang informasi internalnya tidak menarik bagi siapa pun).
2. Informasi dalam sistem perbankan mempengaruhi kepentingan sejumlah besar orang dan organisasi - klien bank. Hal ini umumnya bersifat rahasia dan bank bertanggung jawab untuk menjaga tingkat kerahasiaan yang disyaratkan kepada nasabahnya. Secara alami, pelanggan memiliki hak untuk mengharapkan bahwa bank harus menjaga kepentingan mereka, jika tidak maka akan mempertaruhkan reputasinya dengan semua konsekuensi berikutnya.
3. Daya saing bank tergantung pada seberapa nyaman klien bekerja dengan bank, serta seberapa luas jangkauan layanan yang diberikan, termasuk layanan yang terkait dengan akses jarak jauh. Oleh karena itu, klien harus dapat mengelola uangnya dengan cepat dan tanpa prosedur yang membosankan. Tetapi kemudahan akses ke uang ini meningkatkan kemungkinan penyusupan kriminal ke dalam sistem perbankan.
4. Keamanan informasi bank (tidak seperti kebanyakan perusahaan) harus memastikan keandalan sistem komputer yang tinggi bahkan dalam situasi darurat, karena bank tidak hanya bertanggung jawab atas dananya sendiri, tetapi juga uang klien.
5. Bank menyimpan informasi penting tentang nasabahnya, yang memperluas lingkaran penyusup potensial yang tertarik untuk mencuri atau merusak informasi tersebut.
Sayangnya, akhir-akhir ini, karena perkembangan teknologi yang tinggi, bahkan tindakan organisasi yang sangat ketat untuk merampingkan pekerjaan dengan informasi rahasia tidak akan melindungi dari kebocoran melalui saluran fisik. Oleh karena itu, pendekatan sistematis terhadap perlindungan informasi mensyaratkan bahwa cara dan tindakan yang digunakan oleh bank untuk memastikan keamanan informasi (organisasi, fisik dan perangkat lunak dan perangkat keras) harus dipertimbangkan sebagai satu set tindakan yang saling terkait, saling melengkapi, dan berinteraksi. Kompleks seperti itu harus ditujukan tidak hanya untuk melindungi informasi dari akses yang tidak sah, tetapi juga untuk mencegah penghancuran, pengubahan, atau pengungkapan informasi yang tidak disengaja.
2. Keamanan sistem pemrosesan informasi otomatis di bank (ASOIB)
Tidaklah berlebihan untuk mengatakan bahwa masalah gangguan yang disengaja dalam fungsi ASOIB untuk berbagai tujuan saat ini adalah salah satu yang paling mendesak. Pernyataan ini paling benar untuk negara-negara dengan infrastruktur informasi yang sangat maju, sebagaimana dibuktikan oleh angka-angka di bawah ini.
Diketahui bahwa pada tahun 1992 kerusakan akibat kejahatan komputer sebesar $555 juta, waktu kerja 930 tahun dan waktu komputer 15,3 tahun. Menurut data lain, kerusakan lembaga keuangan berkisar antara $ 173 juta hingga $ 41 miliar per tahun.
Dari contoh ini, kita dapat menyimpulkan bahwa pemrosesan informasi dan sistem perlindungan mencerminkan pendekatan tradisional ke jaringan komputer sebagai media transmisi data yang berpotensi tidak dapat diandalkan. Ada beberapa cara utama untuk memastikan keamanan lingkungan perangkat lunak dan perangkat keras, yang diimplementasikan dengan berbagai metode:
1.1. Pembuatan profil pengguna. Basis data pengguna, kata sandi, dan profil akses mereka ke sumber daya lokal dari sistem komputasi dibuat di setiap node.
1.2. Pembuatan profil proses. Tugas otentikasi dilakukan oleh server independen (pihak ketiga), yang berisi kata sandi untuk pengguna dan server target (dalam kasus sekelompok server, basis data kata sandi juga hanya berisi satu server otentikasi (master); sisanya adalah hanya salinan yang diperbarui secara berkala) ... Dengan demikian, penggunaan layanan jaringan memerlukan dua kata sandi (walaupun pengguna hanya perlu mengetahui satu - yang kedua diberikan kepadanya oleh server secara "transparan"). Jelas, server menjadi penghambat seluruh sistem, dan meretasnya dapat membahayakan keamanan seluruh jaringan komputer.
2. Enkapsulasi informasi yang ditransmisikan dalam protokol pertukaran khusus. Penggunaan metode tersebut dalam komunikasi didasarkan pada algoritma enkripsi kunci publik. Pada tahap inisialisasi, sepasang kunci dibuat - publik dan pribadi, hanya tersedia untuk orang yang menerbitkan kunci publik. Inti dari algoritma enkripsi kunci publik adalah bahwa operasi enkripsi dan dekripsi dilakukan dengan kunci yang berbeda (masing-masing publik dan pribadi).
3. Pembatasan arus informasi. Ini adalah teknik yang dikenal untuk membagi jaringan area lokal menjadi subnet terkait dan mengendalikan dan membatasi transfer informasi antara subnet ini.
3.1. Firewall Metode ini menyiratkan pembuatan server perantara khusus antara jaringan lokal bank dan jaringan lain, yang memeriksa, menganalisis, dan menyaring semua aliran data yang melewatinya (lalu lintas lapisan jaringan / transportasi). Ini secara dramatis dapat mengurangi ancaman akses tidak sah dari luar ke jaringan perusahaan, tetapi tidak menghilangkan bahaya ini sama sekali. Versi yang lebih aman dari metode ini adalah penyamaran, ketika semua lalu lintas yang berasal dari jaringan lokal dikirim atas nama server firewall, membuat jaringan lokal yang tertutup praktis tidak terlihat.
3.2. Proxy-server. Dengan metode ini, pembatasan ketat diberlakukan pada aturan untuk mentransmisikan informasi dalam jaringan: semua lalu lintas jaringan / lapisan transportasi antara jaringan lokal dan global sepenuhnya dilarang - tidak ada perutean seperti itu, dan panggilan dari jaringan lokal ke yang global terjadi melalui server perantara khusus. Jelas, dengan metode ini, panggilan dari jaringan global ke jaringan lokal menjadi tidak mungkin pada prinsipnya. Jelas juga bahwa metode ini tidak memberikan perlindungan yang memadai terhadap serangan di tingkat yang lebih tinggi, misalnya, di tingkat aplikasi perangkat lunak.
4. Pembuatan jaringan pribadi virtual (VPN) memungkinkan Anda untuk secara efektif memastikan kerahasiaan informasi, perlindungannya dari penyadapan atau gangguan selama transmisi data. Mereka memungkinkan Anda untuk membangun komunikasi rahasia dan aman melalui jaringan terbuka, yang biasanya Internet, dan memperluas batas jaringan perusahaan ke kantor jarak jauh, pengguna ponsel, pengguna rumahan, dan mitra bisnis. Teknologi enkripsi menghilangkan kemungkinan penyadapan atau membaca oleh orang selain penerima resmi dari pesan yang dikirimkan melalui VPN dengan menerapkan algoritme matematika tingkat lanjut untuk mengenkripsi pesan dan lampirannya. Cisco VPN 3000 Series Concentrators dikenal luas sebagai solusi VPN akses jarak jauh terbaik di kelasnya. Cisco VPN 3000 Concentrators dengan kemampuan paling canggih dengan keandalan tinggi dan arsitektur tujuan yang unik. Memungkinkan perusahaan untuk membangun infrastruktur VPN berkinerja tinggi, skalabel, dan kuat untuk mendukung aplikasi akses jarak jauh yang sangat penting. Router Cisco, yang dioptimalkan untuk VPN, seperti router Cisco 800, 1700, 2600, 3600, 7100, dan 7200, adalah alat yang ideal untuk membangun VPN dari situs ke situs.
5. Sistem deteksi penyusupan dan pemindai kerentanan menciptakan lapisan keamanan jaringan tambahan. Meskipun firewall mengizinkan atau menunda lalu lintas berdasarkan sumber, tujuan, port, atau kriteria lainnya, firewall sebenarnya tidak menganalisis lalu lintas untuk serangan dan tidak mencari kerentanan dalam sistem. Selain itu, firewall biasanya tidak menangani ancaman internal dari "orang dalam". Cisco Intrusion Detection System (IDS) dapat melindungi jaringan perimeter, jaringan mitra bisnis, dan jaringan internal yang semakin rentan secara real time. Sistem ini menggunakan agen, yang merupakan perangkat jaringan berkinerja tinggi, untuk menganalisis paket individual untuk mendeteksi aktivitas yang mencurigakan. Jika ada aktivitas yang tidak sah atau serangan jaringan dalam aliran data di jaringan, agen dapat mendeteksi pelanggaran secara real time, mengirim alarm ke administrator dan memblokir akses penyusup ke jaringan. Selain alat deteksi intrusi jaringan, Cisco juga menawarkan sistem deteksi intrusi berbasis server yang secara efektif melindungi server tertentu di jaringan pengguna, terutama server Web dan e-commerce. Cisco Secure Scanner adalah pemindai perangkat lunak kelas industri yang memungkinkan administrator mengidentifikasi dan memperbaiki kerentanan keamanan jaringan sebelum peretas menemukannya.
Ketika jaringan tumbuh dan menjadi lebih kompleks, menjadi sangat penting untuk memerlukan kontrol kebijakan keamanan terpusat untuk mengelola elemen keamanan. Alat cerdas yang dapat mengidentifikasi, mengelola, dan mengaudit kebijakan keamanan meningkatkan kegunaan dan efektivitas solusi keamanan jaringan. Solusi Cisco di area ini mengambil pendekatan strategis untuk manajemen keamanan. Cisco Secure Policy Manager (CSPM) mendukung elemen keamanan Cisco dari jaringan perusahaan dengan menyediakan implementasi kebijakan keamanan yang komprehensif dan konsisten. Dengan CSPM, pelanggan dapat menentukan, menegakkan, dan memvalidasi kebijakan keamanan di ratusan firewall Cisco Secure PIX dan Cisco IOS Firewall Feature Set dan agen IDS. CSPM juga mendukung standar IPsec untuk membangun VPN pribadi virtual. Selain itu, CSPM adalah bagian dari sistem manajemen perusahaan CiscoWorks2000 / VMS yang tersebar luas.
Meringkas metode di atas, kita dapat mengatakan bahwa pengembangan sistem informasi membutuhkan pengembangan paralel teknologi untuk transmisi dan perlindungan informasi. Teknologi ini harus memastikan perlindungan informasi yang ditransmisikan, membuat jaringan "dapat diandalkan", meskipun keandalan pada tahap ini dipahami sebagai keandalan bukan pada tingkat fisik, melainkan pada tingkat logis (tingkat informasi).
Ada juga sejumlah kegiatan tambahan yang menerapkan prinsip-prinsip berikut:
1. Pemantauan proses. Metode proses pemantauan adalah membuat ekstensi khusus dari sistem yang akan terus-menerus melakukan jenis pemeriksaan tertentu. Jelas bahwa sistem tertentu menjadi rentan secara eksternal hanya ketika memberikan kesempatan untuk akses eksternal ke sumber daya informasinya. Saat membuat sarana akses tersebut (proses server), sebagai aturan, ada cukup banyak informasi apriori yang terkait dengan perilaku proses klien. Sayangnya, dalam banyak kasus, informasi ini diabaikan begitu saja. Setelah proses eksternal diautentikasi dalam sistem, itu dianggap berwenang sepanjang siklus hidupnya untuk mengakses sejumlah sumber daya informasi tanpa pemeriksaan tambahan.
Meskipun tidak mungkin untuk menunjukkan semua aturan untuk perilaku proses eksternal dalam banyak kasus, cukup realistis untuk mendefinisikannya melalui negasi, atau, dengan kata lain, untuk menunjukkan apa yang tidak dapat dilakukan oleh proses eksternal dalam kondisi apa pun. Berdasarkan pemeriksaan ini, peristiwa berbahaya atau mencurigakan dapat dipantau. Misalnya, gambar di bawah ini menunjukkan elemen pemantauan dan peristiwa yang terdeteksi: Serangan DOS; kesalahan pengetikan kata sandi oleh pengguna; kelebihan dalam saluran komunikasi.
2. Duplikasi teknologi transmisi. Ada risiko peretasan dan kompromi teknologi transmisi informasi apa pun, baik karena kekurangan internalnya maupun karena pengaruh eksternal. Perlindungan terhadap situasi seperti itu terletak pada penerapan paralel dari beberapa teknologi transmisi yang berbeda. Jelas, duplikasi akan menyebabkan peningkatan dramatis dalam lalu lintas jaringan. Namun, metode ini bisa efektif ketika biaya risiko dari potensi kerugian lebih tinggi daripada overhead duplikasi.
3. Desentralisasi. Dalam banyak kasus, penggunaan teknologi pertukaran informasi terstandarisasi tidak disebabkan oleh keinginan untuk standarisasi, tetapi oleh daya komputasi yang tidak mencukupi dari sistem yang mendukung prosedur komunikasi. Praktik luas "cermin" di Internet juga dapat dianggap sebagai pendekatan terdesentralisasi. Membuat beberapa salinan sumber daya yang identik dapat berguna dalam sistem waktu nyata, bahkan kegagalan jangka pendek yang dapat memiliki konsekuensi serius.
3 . Keamanan pembayaran elektronik
perlindungan kriptografi bank informasi
Kebutuhan untuk selalu memiliki informasi yang diperlukan membuat banyak manajer berpikir tentang masalah mengoptimalkan bisnis mereka dengan menggunakan sistem komputer. Tetapi jika transfer akuntansi dari kertas ke bentuk elektronik dilakukan sejak lama, maka penyelesaian bersama dengan bank masih belum cukup otomatis: transisi besar-besaran ke aliran dokumen elektronik belum datang.
Saat ini, banyak bank memiliki semacam saluran untuk transaksi pembayaran jarak jauh. Anda dapat mengirim "pesanan pembayaran" langsung dari kantor menggunakan koneksi modem atau jalur komunikasi khusus. Sudah menjadi kenyataan untuk melakukan operasi perbankan melalui Internet - untuk ini cukup memiliki komputer dengan akses ke jaringan global dan kunci tanda tangan digital elektronik (EDS), yang terdaftar di bank.
Layanan perbankan jarak jauh memungkinkan untuk meningkatkan efisiensi bisnis pribadi dengan sedikit usaha dari pemiliknya. Ini memastikan: menghemat waktu (tidak perlu datang ke bank secara langsung, pembayaran dapat dilakukan kapan saja); kenyamanan kerja (semua operasi dilakukan dari komputer pribadi di lingkungan bisnis yang sudah dikenal); kecepatan pemrosesan pembayaran yang tinggi (operator bank tidak mencetak ulang data dari kertas asli, yang memungkinkan untuk menghilangkan kesalahan input dan mengurangi waktu pemrosesan dokumen pembayaran); memantau status dokumen dalam proses pemrosesannya; memperoleh informasi tentang pergerakan dana pada rekening.
Namun, terlepas dari keuntungan yang jelas, pembayaran elektronik di Rusia belum terlalu populer, karena pelanggan bank tidak yakin dengan keamanan mereka. Hal ini terutama disebabkan oleh kepercayaan luas bahwa jaringan komputer dapat dengan mudah "diretas" oleh seorang hacker. Mitos ini berakar kuat di benak seseorang, dan berita yang diterbitkan secara teratur di media tentang serangan terhadap situs web lain semakin memperkuat pendapat ini. Tetapi waktu berubah, dan komunikasi elektronik cepat atau lambat akan menggantikan kehadiran pribadi seorang pembayar yang ingin melakukan transfer bank non-tunai dari satu rekening ke rekening lainnya.
Menurut saya, keamanan operasional perbankan elektronik saat ini dapat dipastikan. Ini dijamin oleh metode kriptografi modern yang digunakan untuk melindungi dokumen pembayaran elektronik. Pertama-tama, ini adalah EDS yang sesuai dengan GOST 34.10-94. Sejak 1995, telah berhasil digunakan oleh Bank Rusia. Awalnya, ia memperkenalkan sistem pemukiman elektronik antar wilayah hanya di beberapa wilayah. Sekarang ini mencakup semua wilayah Federasi Rusia dan praktis tidak mungkin membayangkan berfungsinya Bank Rusia tanpanya. Jadi, apakah ada alasan untuk meragukan keandalan tanda tangan digital, jika penggunaannya telah teruji oleh waktu dan, dengan satu atau lain cara, menyangkut setiap warga negara kita?
Tanda tangan digital elektronik adalah jaminan keamanan. Menurut perjanjian standar antara bank dan klien, kehadiran sejumlah orang yang berwenang yang terdaftar di EDS berdasarkan dokumen elektronik berfungsi sebagai dasar untuk melakukan operasi perbankan di akun klien. Undang-undang Federal No. 1-FZ dari 10.01.02 "Pada Tanda Tangan Digital Elektronik" menetapkan bahwa EDS harus dibuat dan diverifikasi oleh perangkat lunak yang disertifikasi oleh FAPSI. Sertifikasi EDS adalah jaminan bahwa program ini melakukan fungsi kriptografi sesuai dengan standar GOST dan tidak melakukan tindakan merusak pada komputer pengguna.
Untuk menempatkan EDS pada dokumen elektronik, Anda harus memiliki kuncinya, yang dapat disimpan pada beberapa pembawa data kunci. Pembawa kunci modern ("e-Token", "USB-drive", "Touch-Memory") bentuknya menyerupai key fob, dan dapat dibawa dalam sekumpulan kunci biasa. Floppy disk juga dapat digunakan sebagai pembawa informasi penting.
Setiap kunci EDS berfungsi sebagai analog dari tanda tangan tulisan tangan orang yang berwenang. Jika dalam kertas organisasi "pembayaran" biasanya ditandatangani oleh direktur dan kepala akuntan, maka dalam sistem elektronik yang terbaik adalah menjaga prosedur yang sama dan memberikan kunci EDS yang berbeda untuk orang yang berwenang. Namun, satu EDS juga dapat digunakan - fakta ini harus tercermin dalam kesepakatan antara bank dan klien.
Kunci EDS terdiri dari dua bagian - tertutup dan terbuka. Bagian publik (kunci publik), setelah dibuat oleh pemiliknya, diserahkan kepada Otoritas Sertifikasi, yang biasanya dimainkan oleh bank. Kunci publik, informasi tentang pemiliknya, tujuan kunci dan informasi lainnya ditandatangani oleh EDS dari Pusat Sertifikasi. Dengan demikian, sertifikat EDS dihasilkan, yang harus didaftarkan dalam sistem penyelesaian elektronik bank.
Bagian pribadi dari kunci EDS (kunci rahasia) dalam keadaan apa pun tidak boleh dialihkan oleh pemilik kunci kepada orang lain. Jika kunci pribadi dipindahkan bahkan untuk waktu yang singkat ke orang lain atau ditinggalkan tanpa pengawasan di suatu tempat, kunci tersebut dianggap "disusupi" (yaitu, menyiratkan kemungkinan penyalinan atau penggunaan kunci secara ilegal). Dengan kata lain, dalam hal ini, seseorang yang bukan pemilik kunci mendapat kesempatan untuk menandatangani dokumen elektronik yang tidak sah oleh manajemen organisasi, yang akan diterima oleh bank untuk dieksekusi dan akan benar, sejak verifikasi EDS akan menunjukkan keasliannya. Semua tanggung jawab dalam hal ini terletak sepenuhnya pada pemilik kunci. Tindakan pemegang EDS dalam situasi ini harus serupa dengan yang dilakukan jika kehilangan kartu plastik biasa: orang ini harus memberi tahu bank tentang "kompromi" (kehilangan) kunci EDS. Kemudian bank akan memblokir sertifikat EDS ini dalam sistem pembayarannya dan penyerang tidak akan dapat menggunakan akuisisi ilegalnya.
Dimungkinkan juga untuk mencegah penggunaan kunci rahasia secara ilegal dengan bantuan kata sandi, yang ditumpangkan pada kunci dan beberapa jenis pembawa kunci. Ini membantu meminimalkan kerusakan jika terjadi kehilangan, karena tanpa kata sandi, kunci menjadi tidak valid dan pemilik akan memiliki cukup waktu untuk memberi tahu bank tentang "kompromi" EDS-nya.
Mari kita pertimbangkan bagaimana klien dapat menggunakan layanan pembayaran elektronik, asalkan bank telah menginstal sistem untuk implementasi terintegrasi layanan perbankan elektronik InterBank. Jika klien adalah pengusaha swasta atau menjalankan perusahaan komersial kecil dan memiliki akses ke Internet, cukup baginya untuk memilih sistem perlindungan kriptografi (EDS dan enkripsi) yang ingin digunakan. Klien dapat menginstal perangkat lunak bersertifikat "CryptoPro CSP" atau menggunakan sistem Microsoft Base CSP yang ada di dalam Microsoft Windows.
Jika klien adalah perusahaan besar dengan perputaran keuangan yang besar, maka subsistem lain dari struktur InterBank - "Klien Windows" dapat direkomendasikan kepadanya. Dengan bantuannya, klien secara mandiri memelihara database dokumen elektronik dan dapat menyiapkan pesanan pembayaran di komputernya tanpa menggunakan sesi komunikasi dengan bank. Ketika semua dokumen yang diperlukan terbentuk, klien terhubung ke bank melalui telepon atau saluran khusus untuk pertukaran data.
Jenis layanan lain yang disediakan oleh kompleks InterBank adalah memberi tahu klien tentang keadaan rekening banknya, nilai tukar dan mentransfer data referensi lainnya melalui komunikasi suara, faks, atau layar ponsel.
Cara mudah untuk menggunakan pembayaran elektronik adalah dengan menandatangani dokumen pembayaran oleh karyawan resmi perusahaan, yang berada pada jarak yang cukup jauh satu sama lain. Misalnya, kepala akuntan telah menyiapkan dan menandatangani dokumen pembayaran elektronik. Direktur, yang sedang dalam perjalanan bisnis di kota lain atau di negara lain, dapat melihat dokumen ini, menandatanganinya, dan mengirimkannya ke bank. Semua tindakan ini dapat dilakukan oleh subsistem "Internet-Client", di mana akuntan dan direktur perusahaan akan terhubung melalui Internet. Enkripsi data dan otentikasi pengguna akan dilakukan menggunakan salah satu protokol standar - SSL atau TLS.
Jadi, penggunaan pembayaran elektronik dalam bisnis memberikan keuntungan yang signifikan dibandingkan layanan tradisional. Adapun keamanan, disediakan oleh standar EDS (GOST 34.10-94), di satu sisi, dan tanggung jawab klien untuk menyimpan kunci tanda tangan, di sisi lain. Klien selalu bisa mendapatkan rekomendasi tentang penggunaan dan penyimpanan kunci EDS di bank, dan jika dia mengikutinya, keandalan pembayaran dijamin.
4. Keselamatan orangpembayaran tunai individu
Sebagian besar sistem keamanan, untuk menghindari hilangnya data pribadi individu, mengharuskan pengguna untuk mengonfirmasi bahwa dia adalah yang dia klaim. Identifikasi pengguna dapat dilakukan atas dasar bahwa:
* dia mengetahui beberapa informasi (kode rahasia, kata sandi);
* dia memiliki objek tertentu (kartu, kunci elektronik, token);
* ia memiliki seperangkat sifat individu (sidik jari, bentuk tangan, nada suara, gambar retina, dll.);
* itu tahu di mana atau bagaimana kunci khusus terhubung.
Metode pertama membutuhkan pengetikan urutan kode tertentu pada keyboard - nomor identifikasi pribadi (PIN). Ini biasanya urutan 4-8 digit yang harus dimasukkan pengguna saat melakukan transaksi.
Metode kedua melibatkan penyajian oleh pengguna elemen identifikasi spesifik tertentu - kode yang dibaca dari perangkat elektronik, kartu, atau token yang tidak dapat disalin.
Pada metode ketiga, pass adalah ciri-ciri individu dan ciri-ciri fisik kepribadian seseorang. Setiap produk biometrik disertai dengan database yang cukup banyak yang menyimpan gambar terkait atau data lain yang digunakan dalam pengenalan.
Metode keempat mengasumsikan prinsip khusus untuk menyalakan atau mengganti peralatan, yang akan memastikan operasinya (pendekatan ini jarang digunakan).
Di perbankan, yang paling luas adalah alat identifikasi pribadi, yang kami kaitkan dengan kelompok kedua: objek tertentu (kartu, kunci elektronik, token). Secara alami, penggunaan kunci semacam itu terjadi dalam kombinasi dengan sarana dan metode identifikasi, yang kami kaitkan dengan kelompok pertama: penggunaan informasi (kode rahasia, kata sandi).
Mari kita lihat lebih dekat identifikasi pribadi di perbankan.
Kartu plastik.
Lebih dari satu miliar kartu telah diterbitkan di berbagai negara di dunia.... Yang paling terkenal dari mereka:
Kartu kredit Visa (lebih dari 350 juta kartu) dan MasterCard (200 juta kartu);
Cek internasional menjamin Eurocheque dan Posteheque;
Kartu untuk perjalanan dan hiburan American Express (60 juta kartu) dan Diners Club.
Kartu magnetik
Kartu plastik dengan strip magnetik adalah yang paling terkenal dan telah lama digunakan di perbankan sebagai alat identifikasi (banyak sistem memungkinkan penggunaan kartu kredit konvensional). Untuk membaca, perlu menggesek kartu (magnetic stripe) melalui slot pembaca (reader). Biasanya, pembaca dibuat dalam bentuk perangkat eksternal dan dihubungkan melalui port serial atau universal pada komputer. Pembaca yang dikombinasikan dengan keyboard juga diproduksi. Namun, kartu tersebut memiliki kelebihan dan kekurangan penggunaannya.
* kartu magnetik dapat dengan mudah disalin ke peralatan yang tersedia;
* polusi, sedikit dampak mekanis pada lapisan magnetik, lokasi kartu di dekat sumber medan elektromagnetik yang kuat akan merusak kartu.
Manfaat:
* biaya penerbitan dan pemeliharaan kartu tersebut rendah;
* industri kartu plastik magnetik telah berkembang selama beberapa dekade dan saat ini lebih dari 90% kartu adalah kartu plastik;
* penggunaan kartu magnetik dibenarkan jika jumlah pengguna sangat banyak dan seringnya penggantian kartu (misalnya, untuk akses ke kamar hotel).
Kartu kedekatan
Sebenarnya, ini adalah pengembangan dari ide token elektronik. Ini adalah kartu tanpa kontak (tetapi bisa juga berupa gantungan kunci atau gelang) yang berisi chip dengan kode unik atau pemancar radio. Pembaca dilengkapi dengan antena khusus yang terus-menerus memancarkan energi elektromagnetik. Ketika kartu memasuki bidang ini, chip kartu diberi energi, dan kartu mengirimkan kode uniknya ke pembaca. Untuk sebagian besar pembaca, jarak respons yang stabil berkisar dari beberapa milimeter hingga 5-15 cm.
Kartu pintar
Tidak seperti kartu magnetik, kartu pintar berisi mikroprosesor dan bantalan kontak untuk memasok daya dan bertukar informasi dengan pembaca. Kartu pintar memiliki tingkat keamanan yang sangat tinggi. Dengan dia prospek utama untuk pengembangan kunci tersebut dan harapan banyak pengembang sistem keamanan masih terkait.
Teknologi kartu pintar telah ada dan berkembang selama sekitar dua puluh tahun, tetapi baru menyebar luas dalam beberapa tahun terakhir. Jelas, kartu pintar, karena banyaknya memori dan fungsionalitas, dapat bertindak baik sebagai kunci maupun sebagai pass, dan pada saat yang sama menjadi kartu bank. Dalam kehidupan nyata, kombinasi fungsi seperti itu jarang diterapkan.
Untuk bekerja dengan kartu pintar, komputer harus dilengkapi dengan perangkat khusus: pembaca kartu internal atau eksternal. Pembaca kartu eksternal dapat terhubung ke berbagai port di komputer Anda (port serial PS/2, paralel atau keyboard, slot PCMCIA, SCSI, atau USB).
Banyak kartu menyediakan berbagai jenis (algoritma) otentikasi. Ada tiga pihak yang terlibat dalam proses pengenalan elektronik: pengguna kartu, kartu, dan perangkat terminal (pembaca kartu). Otentikasi diperlukan agar pengguna, perangkat terminal tempat kartu dimasukkan, atau aplikasi perangkat lunak yang parameter kartunya dikomunikasikan, dapat melakukan tindakan tertentu dengan data pada kartu. Aturan akses ditetapkan oleh pengembang aplikasi saat membuat struktur data di peta.
Token elektronik
Sekarang, dalam berbagai sistem yang memerlukan identifikasi pengguna atau pemilik, token elektronik (atau yang disebut perangkat token) banyak digunakan sebagai pass. Contoh token yang terkenal adalah pil elektronik (Gambar 8.4). "Tablet" dibuat dalam wadah baja tahan karat bundar dan berisi chip dengan nomor unik yang tercatat di dalamnya. Otentikasi pengguna dilakukan setelah menyentuh "tablet" seperti itu ke perangkat kontak khusus, biasanya terhubung ke port serial komputer. Dengan demikian, Anda dapat mengizinkan akses ke tempat tersebut, tetapi Anda juga dapat mengizinkan pekerjaan di komputer atau memblokir pengguna yang tidak berwenang untuk bekerja di komputer.
Untuk kenyamanan, "tablet" dapat dipasang pada key fob atau ditekan ke dalam cangkang plastik.
Saat ini, perangkat ini banyak digunakan untuk mengontrol kunci elektromekanis (pintu kamar, gerbang, pintu masuk, dll.). Namun, penggunaan "komputer" mereka juga cukup efektif.
Ketiga kelompok kunci yang terdaftar bersifat pasif. Mereka tidak melakukan tindakan aktif apa pun dan tidak berpartisipasi dalam proses otentikasi, tetapi hanya mengembalikan kode yang disimpan. Ini adalah area utama mereka.
Token agak lebih tahan lama daripada kartu magnetik.
Kesimpulan
Dengan demikian, masalah melindungi informasi perbankan terlalu serius untuk diabaikan oleh bank. Akhir-akhir ini banyak ditemukan kasus pelanggaran tingkat kerahasiaan di bank-bank domestik. Contohnya adalah akses gratis ke berbagai database di CD-ROM tentang perusahaan komersial dan individu. Secara teoritis, kerangka hukum untuk memastikan perlindungan informasi perbankan ada di negara kita, tetapi penerapannya jauh dari sempurna. Sejauh ini tidak ada kasus di mana bank dihukum karena mengungkapkan informasi, ketika ada perusahaan yang dihukum karena berusaha mendapatkan informasi rahasia.
Perlindungan informasi di bank adalah tugas kompleks yang tidak dapat diselesaikan hanya dalam kerangka program perbankan. Penerapan proteksi yang efektif dimulai dengan pemilihan dan konfigurasi sistem operasi dan perangkat sistem jaringan yang mendukung berfungsinya program perbankan. Di antara sarana disiplin untuk memastikan perlindungan, dua bidang harus dibedakan: di satu sisi, itu adalah kesadaran minimum yang cukup dari pengguna sistem tentang fitur konstruksi sistem; di sisi lain, adanya sarana multilevel identifikasi pengguna dan kontrol hak-hak mereka.
Pada titik yang berbeda dalam perkembangannya, ABS memiliki komponen perlindungan yang berbeda. Dalam kondisi Rusia, sebagian besar sistem perbankan dalam hal tingkat perlindungan harus diklasifikasikan sebagai sistem tingkat kompleksitas perlindungan pertama dan kedua:
tingkat 1 - penggunaan alat perangkat lunak yang disediakan oleh alat standar sistem operasi dan program jaringan;
Tingkat 2 - penggunaan perangkat lunak keamanan, pengkodean informasi, pengkodean akses.
Meringkas semua hal di atas, saya sampai pada kesimpulan bahwa ketika bekerja di sektor perbankan, Anda harus yakin bahwa informasi perusahaan dan komersial akan tetap pribadi. Namun, perhatian harus diberikan untuk melindungi tidak hanya dokumentasi dan informasi produksi lainnya, tetapi juga pengaturan jaringan dan parameter jaringan pada mesin.
Tugas melindungi informasi di bank diatur jauh lebih ketat daripada di organisasi lain. Solusi untuk masalah seperti itu melibatkan perencanaan organisasi, tindakan sistemik untuk memastikan perlindungan. Pada saat yang sama, ketika merencanakan perlindungan, ukuran harus diperhatikan antara tingkat perlindungan yang diperlukan dan tingkat itu ketika perlindungan mulai mengganggu pekerjaan normal personel.
Lampiran 1
Daftar personel ASOIB tipikal dan tingkat risiko yang sesuai dari masing-masing personel:
1. Risiko terbesar: pengontrol sistem dan administrator keamanan.
2. Peningkatan resiko: operator sistem, operator entri dan persiapan data, manajer pemrosesan, pemrogram sistem.
3. Risiko rata-rata: insinyur sistem, manajer perangkat lunak.
4. Risiko terbatas: pemrogram aplikasi, insinyur atau operator komunikasi, administrator basis data, insinyur peralatan, operator peralatan periferal, pustakawan media magnetik sistem, pengguna programmer, pengguna petugas.
5. Resiko rendah: insinyur peralatan periferal, pustakawan media magnetik pengguna, pengguna jaringan.
Ara. 1 kartu magnetik
Ara. 2 Kartu kedekatan
Ara. 4 token elektronik
Lampiran 2
|
Statistik kerugian untuk Visa dan MasterCard |
||
|
Bagian dalam total kerugian,% |
||
|
Penipuan penjual |
||
|
Kartu yang dicuri |
||
|
Pemalsuan |
||
|
Ubah relief peta |
||
|
Kartu hilang |
||
|
Penggunaan yang tidak tepat |
||
|
Penipuan telepon |
||
|
Penipuan Surat |
||
|
Penipuan surat |
||
|
Pencurian selama pengiriman produksi |
||
|
Kolusi dengan pemegang kartu |
||
Diposting di Allbest.ru
Jenis ancaman yang disengaja terhadap keamanan informasi. Metode dan sarana perlindungan informasi. Metode dan sarana keamanan informasi. Metode kriptografi perlindungan informasi. Sarana perlindungan yang kompleks.
abstrak, ditambahkan 17/01/2004
Masalah keamanan informasi. Fitur perlindungan informasi dalam jaringan komputer. Ancaman, serangan, dan saluran kebocoran informasi. Klasifikasi metode dan sarana untuk memastikan keamanan. Arsitektur dan perlindungan jaringan. Metode untuk mengamankan jaringan.
tesis, ditambahkan 16/06/2012
Metode dan sarana untuk melindungi data informasi. Perlindungan terhadap akses tidak sah ke informasi. Fitur perlindungan sistem komputer dengan metode kriptografi. Kriteria untuk menilai keamanan teknologi komputer informasi di negara-negara Eropa.
tes, ditambahkan 08/06/2010
Prinsip keamanan untuk pembayaran elektronik dan pribadi individu di bank. Penerapan teknologi transmisi dan perlindungan informasi; pendekatan sistematis untuk pengembangan lingkungan perangkat lunak dan perangkat keras: pengkodean informasi dan akses; enkripsi, kriptografi.
abstrak ditambahkan pada 18/05/2013
Keamanan informasi sistem telekomunikasi. Masalah keamanan informasi. Teknologi analisis keamanan, deteksi paparan penyusup, perlindungan informasi dari gangguan, perlindungan anti-virus. Pembentukan bank data.
abstrak, ditambahkan 27/02/2009
Aspek terpenting dari keamanan informasi. Sarana teknis pemrosesan informasi, pembawa dokumentasinya. Cara umum untuk memperoleh informasi secara tidak sah. Konsep tanda tangan elektronik. Perlindungan informasi dari kehancuran.
abstrak ditambahkan pada 14/07/2015
Metode dan sarana untuk melindungi informasi dari akses yang tidak sah. Fitur perlindungan informasi dalam jaringan komputer. Perlindungan kriptografi dan tanda tangan digital elektronik. Metode untuk melindungi informasi dari virus komputer dan serangan hacker.
abstrak, ditambahkan 23/10/2011
Keamanan informasi, komponen sistem proteksi. Faktor destabilisasi. Klasifikasi ancaman terhadap keamanan informasi menurut sumber kejadiannya, menurut sifat tujuannya. Metode untuk implementasinya. Tingkat perlindungan informasi. Tahapan membuat sistem proteksi.
presentasi ditambahkan pada 22/12/2015
Pengembangan teknologi informasi baru dan komputerisasi umum. Informasi keamanan. Klasifikasi ancaman yang disengaja terhadap keamanan informasi. Metode dan sarana perlindungan informasi. Metode kriptografi perlindungan informasi.
makalah, ditambahkan 17/03/2004
Konsep dasar keamanan informasi dan keamanan informasi. Klasifikasi dan konten, sumber dan prasyarat munculnya kemungkinan ancaman terhadap informasi. Arah utama perlindungan terhadap senjata informasi (dampak), layanan keamanan jaringan.
Apa masalah utama di bidang keamanan yang Anda soroti saat ini, baik dari segi keamanan informasi maupun dari segi keamanan bisnis?
Andrey Bogoslovskikh, Direktur Direktorat Teknologi Informasi Rosbank: Penargetan komunitas peretas untuk membuat kode berbahaya yang disesuaikan dengan teknologi sistem perbankan jarak jauh. Mencuri kata sandi dan informasi penting dari komputer klien yang terinfeksi.
Konstantin Medentsev, Wakil Presiden Teknologi Informasi Bank Moskow untuk Rekonstruksi dan Pengembangan: Tugas utama keamanan informasi adalah memastikan dan meningkatkan perlindungan infrastruktur informasi. Teknologi informasi semakin banyak digunakan untuk tujuan kriminal. Teknologi menjadi lebih mudah diakses, dan biaya serangan terhadap sistem informasi menurun, sementara biaya untuk melindungi sumber daya informasi elektronik menjadi semakin mahal. Dengan bantuan sistem informasi, lembaga kredit dapat secara signifikan mengurangi biaya layanan klien, yang, pada gilirannya, mengarah pada peningkatan keuntungan. Namun, mekanisme untuk memenuhi persyaratan yang ditetapkan oleh regulator menyebabkan peningkatan yang signifikan dalam biaya layanan perbankan. Semakin tinggi tingkat perlindungan data, semakin sulit, tentu saja, untuk mendapatkannya, karena arsitektur sistem otomatis yang sesuai menjadi lebih kompleks. Dalam hal ini, penting untuk menemukan pendekatan atau algoritme tindakan yang terintegrasi, yang penerapannya akan memungkinkan memenuhi persyaratan hukum, tetapi pada saat yang sama tidak akan berdampak buruk pada kegiatan bank dan tidak akan menyebabkan peningkatan biaya produk dan jasa bagi konsumen.
Vladilen Novoseletsky, Kepala Departemen Keamanan Informasi B&N Bank: Masalah utama adalah terbatasnya pembiayaan keamanan informasi. Ini sangat menentukan semua masalah lainnya.
Masalah kedua adalah pilihan untuk bisnis dari tingkat kebebasan yang, di satu sisi, tidak akan membiarkan penyerang merusak bisnis, di sisi lain, tidak akan mencekik bisnis. Jelas, tidak akan ada insiden keamanan informasi jika semuanya dilarang. Tapi kemudian bisnisnya juga tidak akan berkembang. Oleh karena itu, perlu untuk menemukan keseimbangan antara kebebasan bertindak yang diperlukan untuk bisnis dan sistem pembatasan yang diperlukan untuk memastikan keamanan informasi.
Masalah ketiga adalah masalah pemilihan sistem keamanan informasi dengan fungsionalitas yang diperlukan yang tidak memiliki efek negatif yang nyata pada sarana yang dilindungi (masalah fungsionalitas dan kompatibilitas). Ada banyak SZI di pasaran, tapi ... mulus di atas kertas.
Masalah keempat adalah legal - perizinan kegiatan dengan penggunaan sistem informasi kriptografi, sertifikasi sistem keamanan informasi dan pengesahan objek otomatisasi. Sebagian besar sistem keamanan informasi yang disertifikasi oleh FSTEC Rusia (FSB Rusia) sudah usang. Oleh karena itu, ketika memilih sistem keamanan informasi, muncul dilema: untuk memenuhi persyaratan Undang-Undang Federal dengan membeli sistem keamanan informasi yang bersertifikat tetapi sudah ketinggalan zaman. Atau Anda dapat membeli sistem keamanan informasi pengembangan terbaru dan, karenanya, lebih efektif, tetapi tidak bersertifikat. Jika versi sistem keamanan informasi yang tidak bersertifikat dipilih dan telah dibeli, maka sertifikasi selanjutnya akan berubah menjadi wadah makan bagi organisasi yang menangani hal ini. Dalam proses sertifikasi, sistem keamanan informasi tidak akan meningkat, tetapi akan menjadi jauh lebih mahal. Dan jika hasil sertifikasi ternyata negatif, lalu apa yang harus dilakukan dengan SIZ ini? Kembali ke penjual?
Oleg Podkopaev, Direktur TI Rusfinance Bank: Seperti biasa, ancaman utama terhadap keamanan informasi organisasi dan bisnis adalah orang dalam. Dan meskipun konsekuensi dari tindakan orang dalam biasanya kurang terlihat dalam bentuk eksplisit, dan kadang-kadang bahkan tidak terlihat, inilah bahaya utama mereka. Mengkompromikan basis klien, misalnya, selain risiko hukum langsung, selanjutnya mengarah pada penurunan bisnis dan hilangnya pangsa pasar, dan konsekuensinya menjadi terlihat hanya ketika sudah terlambat untuk melakukan sesuatu. Oleh karena itu, upaya utama harus diarahkan pada tindakan pencegahan untuk mencegah kebocoran tersebut atau mengidentifikasinya tepat waktu.
Alexander Turkin, Kepala Pusat Verifikasi dan Dukungan Informasi B&N Bank: Dengan sertifikasi objek informatisasi, gambarannya adalah sebagai berikut: dengan perubahan apa pun, objek harus disertifikasi ulang. Tapi di bank, perubahan terjadi terus menerus! Baik peralatan komputer maupun perangkat lunak, teknologi kerja berubah. Dengan demikian, secara formal sertifikasi/resertifikasi berubah menjadi proses tanpa akhir yang berkesinambungan dengan biaya yang tidak terbatas.
Seperti yang Anda ketahui, untuk penggunaan perangkat perlindungan data kriptografi yang termasuk dalam Keputusan Pemerintah RF tanggal 29 Desember 2007 No. 957, yang menyetujui Peraturan tentang perizinan jenis kegiatan tertentu yang terkait dengan sarana enkripsi (kriptografi), lisensi FSB Rusia diperlukan. Tapi kemudian mereka dibutuhkan tidak hanya untuk bank, tetapi juga untuk semua klien dari sistem Client-Bank. Hal yang sama berlaku untuk semua klien sistem pertukaran elektronik dengan Layanan Pajak Federal, Dana Pensiun, dll. Ternyata lisensi FSB Rusia diperlukan untuk sebagian besar organisasi di negara ini.
Evgeny Shevtsov, Wakil Presiden CJSC JSCB NOVIKOMBANK: Lembaga keuangan saat ini semakin dihadapkan pada berbagai macam ancaman yang ada, seperti penipuan komputer, virus komputer, peretasan sistem komputer, penolakan layanan, dll. Tingginya ketergantungan organisasi-organisasi ini, khususnya bank kami, pada sumber daya informasi, penggabungan jaringan perusahaan dan jaringan akses umum, berbagi sumber daya informasi meningkatkan kerentanan terhadap ancaman tersebut. Karena sistem informasi yang ada di bank pada awalnya tidak dirancang dengan tingkat keamanan yang diperlukan, dalam banyak kasus kemungkinan untuk memastikan keamanan informasi terbatas.
Masalah terpenting yang dihadapi manajemen dan layanan keamanan adalah masalah ancaman internal terhadap keamanan informasi, atau dengan kata lain, masalah perlindungan informasi dari orang dalam.
Oleh karena itu, saat ini, baik dalam aspek keamanan informasi maupun dalam hal memastikan keamanan bisnis, sistem keamanan informasi yang terintegrasi sangat penting, yang melibatkan tidak hanya teknis, tetapi juga sumber daya organisasi, yang pembuatannya dapat membuat bank jauh lebih murah daripada menghilangkannya. konsekuensi dari ancaman keamanan informasi.
Apakah krisis telah mengubah sifat hubungan antara departemen TI bank dan layanan keamanan? Apakah telah terjadi realokasi tanggung jawab dan fungsi? Bagaimana?
Andrei Bogoslovskikh: Krisis tidak mengubah hubungan antara TI dan keamanan.
Konstantin Medentsev: Krisis keuangan dan ekonomi memiliki dampak yang signifikan pada sifat melakukan bisnis, yang dalam beberapa kasus menyebabkan perubahan nyata dalam struktur lembaga kredit terkait baik dengan pengurangan atau dengan redistribusi tugas antar divisi. Dalam hal keamanan informasi, dengan divisi utama yang terkait yaitu dengan divisi teknologi informasi. Pengamatan menunjukkan bahwa dalam beberapa kasus terjadi pengalihan fungsi terkait pengoperasian sistem keamanan informasi ke departemen teknologi informasi. Namun, dampak negatif dari redistribusi ini pada pelaksanaan bisnis secara keseluruhan pada dasarnya dapat memanifestasikan dirinya hanya dengan tidak adanya penyesuaian segera terhadap prosedur interaksi antara divisi yang berdekatan. Dalam hal deskripsi yang kompeten tentang prosedur interaksi, redistribusi ini tidak memiliki dampak negatif.
Vladilen Novoseletsky: Sehubungan dengan mulai berlakunya Undang-Undang “Tentang Data Pribadi”, seharusnya sifat hubungan tersebut berubah ke arah keamanan informasi. Tapi dia tidak berubah. Ada kemungkinan bahwa kontribusi utama untuk ini dibuat oleh krisis.
Oleg Podkopaev: Krisis seperti itu, tentu saja, tidak mempengaruhi hubungan seperti itu, karena esensinya berbeda. Tapi dari sudut pandang interaksi divisi bank, tindakan menjadi lebih koheren. Lebih dipengaruhi oleh persyaratan regulator, yang implementasinya membutuhkan interaksi yang lebih jelas antara TI dan layanan keamanan. Pada saat yang sama, distribusi fungsi tidak berubah: divisi keamanan informasi adalah badan pengatur dan pengawas di dalam bank, TI dirancang untuk menerapkan dan memastikan keamanan informasi.
Evgeny Shevtsov: Sifat interaksi tidak berubah. Tanggung jawab dan fungsi divisi tetap sama, ditentukan oleh dokumen peraturan bank.
Bagaimana Anda menilai peran regulator di bidang keamanan informasi bank? Seberapa berguna, khususnya, langkah-langkah yang diambil oleh Bank Sentral Federasi Rusia di bidang legislatif?
Andrei Bogoslovskikh: Bank Rusia mengembangkan standar keamanan informasi, yang bersifat rekomendasi (bukan area legislatif). Penilaiannya ada dua. Di satu sisi, standar IS Bank Sentral Federasi Rusia berguna, karena didasarkan pada standar IS internasional modern. Di sisi lain, ada banyak kontroversi di dalamnya, karena mereka juga didasarkan pada metode dan instruksi yang sudah ketinggalan zaman dari Komisi Teknis Negara (FSTEC).
Konstantin Medentsev: Upaya Bank Sentral tidak bisa diabaikan. Tonggak penting dalam pengembangan basis regulasi dan metodologi Bank Sentral di bidang keamanan informasi adalah diterbitkannya sejumlah dokumen regulasi. Seperti "Metodologi untuk menilai kepatuhan terhadap persyaratan keamanan informasi STO BR IBSS-1.0-2008" dan "Metodologi untuk menilai risiko pelanggaran keamanan informasi".
Oleg Podkopaev: Saya percaya bahwa Bank Sentral Federasi Rusia benar-benar benar dalam mengajar bank untuk memikirkan kemungkinan regulasi di bidang keamanan informasi. Selain itu, ini dilakukan dengan sangat cerdas, dengan terlebih dahulu mengeluarkan rekomendasi dan metode penilaian sendiri, melakukan uji coba audit keamanan informasi, dan baru kemudian - dan ini masalah waktu - dengan memperkenalkan persyaratan wajib.
Alexander Turki: Kami memiliki tiga regulator di bidang keamanan informasi: Bank Sentral Federasi Rusia, FSTEC Rusia, dan FSB Rusia. Langkah-langkah Bank Sentral di bidang legislatif diambil untuk kepentingan bank, sehingga tentu saja bermanfaat bagi bank, tetapi seberapa efektif mereka - waktu akan memberi tahu. Sejauh ini, sepertinya akan ada beberapa efek, meskipun mungkin kurang dari yang kita inginkan. Kami menerima penangguhan selama satu tahun, dan FSTEC Rusia menghapus cap chipboard dari empat dokumennya - itu sudah bagus. Pada saat yang sama, saya ingin menekankan bahwa peran Bank Rusia dalam hal ini tidak diragukan lagi positif. Atas undangan Andrey Petrovich Kurilo, kami masuk ke ARB Working Group on Law No. 152-FZ. Saran dan komentar untuk perbaikan perundang-undangan di bidang data pribadi, yang lahir pada pertemuan-pertemuan Pokja, saya kira, memberikan kontribusi yang signifikan bagi celengan umum.
Evgeny Shevtsov: Dokumen utama yang memandu layanan keamanan informasi bank dalam kegiatannya adalah Standar Bank Rusia: “Memastikan keamanan informasi organisasi dalam sistem perbankan Federasi Rusia. Ketentuan Umum ”(STO BR STBP-1.0-2008). Kami berharap bahwa versi baru dari dokumen tersebut akan menjadi standar industri untuk lembaga kredit dan keuangan Federasi Rusia.
Pemberlakuan penuh persyaratan UU No. 152-FZ. Sejauh mana bank siap untuk ini hari ini? Apa yang dicapai masa tenggang satu tahun?
Andrei Bogoslovskikh: Bank belum siap. Masa tenggang satu tahun tidak banyak membantu. Melindungi data pribadi lebih kuat daripada rahasia perbankan dan komersial adalah omong kosong.
Konstantin Medentsev: Terlepas dari kenyataan bahwa Undang-Undang Federal "Tentang Data Pribadi" diadopsi kembali pada tahun 2006, dokumen peraturan dan metodologis yang mengatur proses membangun sistem perlindungan data pribadi diterbitkan jauh kemudian. Mempertimbangkan biaya keuangan yang cukup besar untuk implementasi sistem keamanan, operator pemrosesan data pribadi hanya memiliki sedikit waktu tersisa untuk implementasinya. Dalam hal ini, penundaan satu tahun berguna.
Oleg Podkopaev: Tentu, tidak ada seorang pun, termasuk bank, yang sepenuhnya siap untuk pengenalan UU No. 152-FZ. Apalagi regulator belum siap, yang secara umum menentukan kemungkinan penundaan tanggal. Selain itu, penundaan satu tahun diperlukan di sini tidak terlalu banyak untuk operator tetapi untuk legislator untuk membuat amandemen yang diperlukan yang dirumuskan dalam proses upaya untuk secara praktis menerapkan persyaratan Undang-undang dan peraturan terkait. Saya pikir ini akan dilakukan selama 2010. Ini juga akan menjadi lebih jelas apa dan bagaimana melakukannya, persyaratan akan menjadi lebih sesuai dengan kenyataan, dan, akhirnya, para konsultan akan mendapatkan pengalaman dalam implementasi pada proyek-proyek "percontohan".
Alexander Turki: Di sini salah satu masalahnya adalah interpretasi Undang-Undang Federal dan anggaran rumah tangga ini. Jika kita mendekatinya secara formal dan ketat, maka bank belum siap, dan satu tahun penundaan tidak akan mengubah situasi secara radikal. Jika sejumlah persyaratan disesuaikan dengan arah pelemahannya, maka tingkat kesiapan akan meningkat.
Evgeny Shevtsov: Masa tenggang satu tahun memberikan kesempatan untuk menghemat uang sambil memenuhi persyaratan ini.
Sehubungan dengan pengembangan layanan perbankan jarak jauh dan rencana untuk pengembangan aktif bank ke arah ini, seberapa serius masalah serangan DDOS di situs web bank, phishing, dan ancaman lain terhadap saluran RBS?
Andrei Bogoslovskikh: Ancaman DDoS serius, tetapi tidak dalam dirinya sendiri, tetapi sebagai sarana untuk menyamarkan transaksi penipuan menggunakan detail pelanggan yang dicuri.
Konstantin Medentsev: Seperti yang telah disebutkan, perkembangan teknologi informasi berdampak pada ranah kriminal. Namun, bila dirancang dengan benar, sistem perbankan jarak jauh dapat menahan jenis ancaman tertentu dengan percaya diri. Saat ini alat pemantauan aktivitas jaringan yang ada memungkinkan mengidentifikasi sumber serangan DDOS dengan lebih cepat dan, pada saat yang sama, mencegah kerusakan pada sarana teknis sistem perbankan jarak jauh itu sendiri. Namun, masalah yang terkait dengan penggunaan informasi kunci yang tidak sah, hanya sedikit yang terhindar. Dimungkinkan untuk mengecualikan fenomena ini hanya dengan upaya bersama baik dari pihak lembaga kredit - melalui pengenalan mekanisme yang lebih maju untuk penerapan prosedur kriptografi, dan dari pihak klien sendiri - melalui kepatuhan yang ketat terhadap rekomendasi keamanan informasi.
Alexander Turki: Masalahnya adalah salah satu yang paling serius. Beberapa bank telah mengumpulkan banyak informasi tentang sumber ancaman tersebut. Konsolidasinya mungkin dapat secara signifikan meningkatkan tingkat pengungkapan di bidang ini. Tapi lembaga penegak hukum konsolidasi tertarik informasi tersebut tidak terlihat. Dan ini terlepas dari kenyataan bahwa Doktrin Keamanan Informasi Federasi Rusia menganggap ancaman ini serius bagi perekonomian negara.
Evgeny Shevtsov: Saya pikir masalah ini serius. Bank membutuhkan alat untuk mencegah serangan tersebut pada tahap awal operasi mereka. Dan bukan hanya mencegah, tapi melindungi.
Apa masalah/ancaman utama untuk aktivitas Anda dalam hal keamanan informasi yang Anda lihat dalam waktu dekat - 2010?
Andrei Bogoslovskikh: Kepatuhan terhadap persyaratan rekomendasi metodologis FSB dan FSTEC tentang perlindungan data pribadi. Pengembangan arah fraud menggunakan saluran RBS.
Konstantin Medentsev: Kemajuan teknologi terus bergerak maju. Seperti disebutkan sebelumnya, penetrasi teknologi informasi ke ranah kriminal terjadi dengan kecepatan yang dipercepat. Dalam kaitan ini, tampaknya jumlah ancaman terhadap keamanan informasi dari kegiatan lembaga perkreditan hanya dapat meningkat. Namun, hanya waktu yang dapat memberikan penilaian yang lebih rinci tentang sifat dan konsekuensinya.
Vladilen Novoseletsky: Masalah utama adalah membawa bank untuk mematuhi Undang-Undang "Tentang Data Pribadi", dan ancaman utama adalah kesalahpahaman atau kesalahpahaman tentang masalah ini di pihak semua orang yang menjadi sandaran penyelesaiannya.
Evgeny Shevtsov: Sebagai bagian dari pembuatan sistem perlindungan data pribadi, pertimbangkan masalah pengorganisasian sistem keamanan terintegrasi untuk sumber daya informasi bank.
Memperkirakan:
Aktivitas perbankan selalu dikaitkan dengan pemrosesan dan penyimpanan sejumlah besar data rahasia. Pertama-tama, ini adalah data pribadi tentang pelanggan, tentang simpanan mereka dan tentang semua operasi yang dilakukan.
Semua informasi komersial yang disimpan dan diproses di lembaga kredit terkena berbagai risiko yang terkait dengan virus, kegagalan perangkat keras, kegagalan sistem operasi, dll. Tapi masalah ini tidak mampu menyebabkan kerusakan serius. Pencadangan data harian, yang tanpanya pengoperasian sistem informasi perusahaan mana pun tidak terpikirkan, mengurangi risiko kehilangan informasi yang tidak dapat dipulihkan seminimal mungkin. Selain itu, metode perlindungan terhadap ancaman ini berkembang dengan baik dan dikenal luas. Oleh karena itu, risiko yang terkait dengan akses tidak sah ke informasi rahasia (NSD) muncul ke permukaan.
Akses tidak sah adalah kenyataan
Saat ini, ada tiga metode paling umum untuk mencuri informasi rahasia. Pertama, akses fisik ke lokasi penyimpanan dan pemrosesan. Ada banyak pilihan di sini. Misalnya, penyusup dapat membobol kantor bank di malam hari dan mencuri hard drive dengan semua database. Bahkan serangan bersenjata dimungkinkan, yang tujuannya bukan uang, tetapi informasi. Situasi ini tidak dikecualikan ketika karyawan bank sendiri dapat membawa pembawa informasi keluar dari wilayah tersebut.
Kedua, penggunaan backup. Sebagian besar bank memiliki sistem cadangan berbasis pita untuk data penting. Mereka merekam salinan yang mereka buat ke pita magnetik, yang kemudian disimpan di lokasi terpisah. Akses ke mereka jauh lebih santai. Selama transportasi dan penyimpanannya, sejumlah besar orang dapat membuat salinannya. Risiko yang terkait dengan mencadangkan data sensitif tidak dapat diremehkan. Misalnya, sebagian besar ahli yakin bahwa basis data posting Bank Sentral Federasi Rusia yang muncul untuk dijual pada tahun 2005 dicuri justru berkat salinan yang diambil dari pita magnetik. Ada banyak insiden seperti itu yang dikenal dalam praktik dunia. Secara khusus, pada bulan September tahun lalu, karyawan penyedia kartu kredit Chase Card Services, sebuah divisi dari JPMorgan Chase & Co., secara keliru membuang lima kaset yang berisi cadangan yang berisi informasi tentang 2,6 juta pemegang rekening kredit Circuit City.
Ketiga, cara paling mungkin untuk membocorkan informasi rahasia adalah akses tidak sah oleh karyawan bank. Saat hanya menggunakan alat sistem operasi standar untuk memisahkan hak, pengguna sering kali memiliki kesempatan untuk secara tidak langsung (menggunakan perangkat lunak tertentu) menyalin seluruh basis data tempat mereka bekerja dan memindahkannya ke luar perusahaan. Terkadang karyawan melakukan ini tanpa niat jahat, hanya untuk bekerja dengan informasi di rumah. Namun, tindakan tersebut merupakan pelanggaran kebijakan keamanan yang paling serius dan mereka dapat (dan menjadi!) Alasan pengungkapan data rahasia.
Selain itu, di bank mana pun ada sekelompok orang dengan hak istimewa tinggi di jaringan lokal. Kita berbicara tentang administrator sistem. Di satu sisi, mereka membutuhkannya untuk memenuhi tugas resmi mereka. Tetapi, di sisi lain, mereka memiliki kesempatan untuk mendapatkan akses ke informasi apa pun dan "menutupi jejak mereka".
Dengan demikian, sistem untuk melindungi informasi perbankan dari akses yang tidak sah harus terdiri dari setidaknya tiga subsistem, yang masing-masing memberikan perlindungan terhadap jenis ancamannya sendiri. Ini adalah subsistem untuk melindungi dari akses fisik ke data, subsistem untuk memastikan keamanan cadangan, dan subsistem untuk melindungi dari orang dalam. Dan disarankan untuk tidak mengabaikan salah satu dari mereka, karena setiap ancaman dapat menyebabkan pengungkapan data rahasia.
Hukum tidak ditulis ke bank?
Saat ini, aktivitas bank diatur oleh undang-undang federal "Tentang Bank dan Aktivitas Perbankan". Ini memperkenalkan, antara lain, konsep "kerahasiaan perbankan". Menurutnya, setiap lembaga perkreditan wajib menjamin kerahasiaan seluruh data simpanan nasabah. Untuk pengungkapan mereka, dia bertanggung jawab, termasuk kompensasi atas kerusakan yang disebabkan oleh kebocoran informasi. Pada saat yang sama, tidak ada persyaratan untuk keamanan sistem informasi perbankan. Ini berarti bahwa bank membuat semua keputusan tentang perlindungan data komersial secara independen, berdasarkan pengalaman spesialis mereka atau perusahaan pihak ketiga (misalnya, mereka yang melakukan audit keamanan informasi). Satu-satunya rekomendasi adalah standar Bank Sentral Federasi Rusia “Memastikan keamanan informasi organisasi dalam sistem perbankan Federasi Rusia. Ketentuan Umum”. Ini pertama kali muncul pada tahun 2004, dan pada tahun 2006 versi baru diadopsi. Saat membuat dan menyelesaikan dokumen departemen ini, standar Rusia dan internasional saat ini di bidang keamanan informasi digunakan.
Bank Sentral Federasi Rusia hanya dapat merekomendasikannya kepada bank lain, tetapi tidak dapat memaksakan implementasi wajib. Selain itu, ada beberapa persyaratan yang jelas dalam standar yang menentukan pilihan produk tertentu. Tentu saja penting, tetapi pada saat ini tidak memiliki signifikansi praktis yang serius. Misalnya, tentang produk bersertifikat, dikatakan: "... sarana bersertifikat atau resmi untuk melindungi informasi dari gangguan dapat digunakan." Tidak ada daftar yang sesuai.
Tercantum dalam standar dan persyaratan sarana kriptografi untuk melindungi informasi di bank. Dan di sini sudah ada definisi yang kurang lebih jelas: "CIPF ... harus diimplementasikan berdasarkan algoritma yang memenuhi standar nasional Federasi Rusia, ketentuan kontrak dengan pihak lawan dan (atau) standar organisasi." Anda dapat mengonfirmasi kepatuhan modul kriptografi dengan GOST 28147-89 dengan sertifikasi. Oleh karena itu, ketika menggunakan sistem enkripsi di bank, disarankan untuk menggunakan penyedia enkripsi perangkat lunak atau perangkat keras yang disertifikasi oleh FSB Federasi Rusia, yaitu modul eksternal yang terhubung ke perangkat lunak dan menerapkan proses enkripsi itu sendiri.
Pada Juli tahun lalu, undang-undang federal Federasi Rusia "Tentang Data Pribadi" diadopsi, yang mulai berlaku pada 1 Januari 2007. Beberapa ahli terkait dengan munculnya persyaratan yang lebih spesifik untuk sistem keamanan perbankan, karena bank adalah organisasi yang memproses data pribadi. Namun, undang-undang itu sendiri, yang tentunya sangat penting secara umum, saat ini tidak dapat diterapkan dalam praktik. Masalahnya terletak pada tidak adanya standar untuk perlindungan data pribadi dan otoritas yang dapat mengontrol implementasinya. Artinya, ternyata saat ini bank bebas memilih sistem untuk melindungi informasi komersial.
Perlindungan dari akses fisik
Bank secara tradisional sangat memperhatikan keamanan fisik kantor operasional, kantor penyimpanan, dll. Semua ini mengurangi risiko akses tidak sah ke informasi komersial melalui akses fisik. Namun, kantor bank dan ruang teknis tempat server berada biasanya tidak berbeda dalam tingkat perlindungan dari kantor perusahaan lain. Oleh karena itu, untuk meminimalkan risiko yang dijelaskan, perlu menggunakan sistem proteksi kriptografi.
Ada sejumlah besar utilitas enkripsi data di pasaran saat ini. Namun, kekhasan pemrosesan mereka di bank memberlakukan persyaratan tambahan pada perangkat lunak yang sesuai. Pertama, prinsip enkripsi transparan harus diterapkan dalam sistem proteksi kriptografi. Saat menggunakannya, data di penyimpanan utama selalu hanya dalam bentuk yang disandikan. Selain itu, teknologi ini memungkinkan Anda meminimalkan biaya pekerjaan rutin dengan data. Mereka tidak perlu didekripsi dan dienkripsi setiap hari. Akses ke informasi dilakukan dengan menggunakan perangkat lunak khusus yang diinstal di server. Secara otomatis mendekripsi informasi ketika diakses dan mengenkripsi sebelum menulis ke hard drive. Operasi ini dilakukan langsung di RAM server.
Kedua, database perbankan sangat banyak. Dengan demikian, sistem keamanan informasi kriptografi harus bekerja tidak dengan virtual, tetapi dengan partisi nyata dari hard drive, array RAID dan media penyimpanan server lainnya, misalnya, dengan penyimpanan SAN. Faktanya adalah bahwa file kontainer yang dapat dihubungkan ke sistem sebagai disk virtual tidak dirancang untuk bekerja dengan data dalam jumlah besar. Dalam kasus ketika disk virtual yang dibuat dari file semacam itu memiliki ukuran besar, bahkan ketika beberapa orang mengaksesnya secara bersamaan, Anda dapat mengamati penurunan yang signifikan dalam kecepatan membaca dan menulis informasi. Pekerjaan beberapa lusin orang dengan file kontainer besar dapat berubah menjadi siksaan belaka. Juga, perlu diingat bahwa benda-benda ini berisiko rusak karena virus, kegagalan sistem file, dll. Lagi pula, pada kenyataannya, itu adalah file biasa, tetapi agak besar. Dan bahkan perubahan kecil di dalamnya dapat menyebabkan ketidakmungkinan menguraikan semua informasi yang dikandungnya. Kedua persyaratan wajib ini secara signifikan mempersempit kisaran produk yang cocok untuk menerapkan keamanan. Faktanya, hanya ada beberapa sistem seperti itu di pasar Rusia saat ini.
Tidak perlu mempertimbangkan secara rinci fitur teknis sistem server untuk perlindungan kriptografi informasi, karena dalam salah satu masalah sebelumnya kami telah membandingkan produk ini. (Stolyarov N., Davletkhanov M. UTM-perlindungan.) Tetapi perlu dicatat beberapa fitur dari sistem tersebut, kehadiran yang diinginkan untuk bank. Yang pertama terkait dengan sertifikasi modul kriptografi yang telah disebutkan sebelumnya. Sebagian besar bank sudah memiliki perangkat lunak atau perangkat keras yang sesuai. Oleh karena itu, sistem perlindungan informasi server harus menyediakan kemungkinan koneksi dan penggunaannya. Persyaratan khusus kedua untuk sistem keamanan informasi adalah kemampuan untuk mengintegrasikan ke dalam sistem keamanan fisik kantor dan/atau ruang server. Ini memungkinkan Anda untuk melindungi informasi dari akses tidak sah yang terkait dengan pencurian, peretasan, dll.
Bank harus memberikan perhatian khusus pada keamanan informasi, karena sebenarnya itu adalah uang klien. Oleh karena itu, sistem proteksi harus menyediakan fitur-fitur khusus yang meminimalkan risiko kehilangannya. Salah satu yang paling menonjol adalah fungsi mendeteksi bad sector pada hard disk. Selain itu, kemampuan untuk menjeda dan membatalkan proses enkripsi, dekripsi, dan enkripsi ulang disk awal sangat penting. Ini adalah prosedur yang agak panjang, setiap kegagalan yang mengancam hilangnya seluruh data.
Faktor manusia memiliki dampak yang sangat besar pada risiko yang terkait dengan akses tidak sah ke informasi rahasia. Oleh karena itu, diinginkan bahwa sistem proteksi menyediakan kemungkinan untuk mengurangi hubungan semacam itu. Ini dicapai dengan menggunakan cara yang andal untuk menyimpan kunci enkripsi - kartu pintar atau kunci USB. Token ini optimal untuk dimasukkan ke dalam produk; ini memungkinkan tidak hanya untuk mengoptimalkan biaya, tetapi juga memastikan kompatibilitas penuh perangkat lunak dan perangkat keras.
Fungsi penting lainnya yang meminimalkan dampak faktor manusia pada keandalan sistem keamanan adalah kuorum kunci. Esensinya terletak pada pembagian kunci enkripsi menjadi beberapa bagian, yang masing-masing diberikan kepada satu karyawan yang bertanggung jawab untuk digunakan. Untuk menghubungkan disk tertutup, sejumlah bagian tertentu diperlukan. Selain itu, mungkin kurang dari jumlah total bagian kunci. Pendekatan ini memungkinkan Anda untuk melindungi data dari penyalahgunaan oleh karyawan yang bertanggung jawab, dan juga memberikan fleksibilitas yang diperlukan untuk pekerjaan bank.
Perlindungan cadangan
Pencadangan rutin atas semua informasi yang disimpan di bank adalah tindakan yang mutlak diperlukan. Ini memungkinkan Anda untuk secara signifikan mengurangi kerugian jika terjadi masalah seperti kerusakan data oleh virus, kegagalan perangkat keras, dll. Tetapi pada saat yang sama, itu meningkatkan risiko yang terkait dengan akses yang tidak sah. Praktik menunjukkan bahwa media tempat pencadangan direkam tidak boleh disimpan di ruang server, tetapi di ruangan lain atau bahkan di gedung. Jika tidak, jika terjadi kebakaran atau insiden serius lainnya, baik data itu sendiri maupun arsipnya dapat hilang secara permanen. Hanya kriptografi yang dapat dengan andal melindungi cadangan dari penggunaan yang tidak sah. Dalam hal ini, dengan menyimpan kunci enkripsi di rumah, petugas keamanan dapat dengan aman mentransfer media dengan arsip ke staf teknis.
Kesulitan utama dalam mengatur perlindungan kriptografi cadangan adalah kebutuhan untuk memisahkan tanggung jawab untuk mengelola pengarsipan data. Administrator sistem atau teknisi lain harus mengonfigurasi dan mengimplementasikan proses pencadangan itu sendiri. Enkripsi informasi harus dikelola oleh karyawan yang bertanggung jawab - petugas keamanan. Harus dipahami bahwa redundansi di sebagian besar kasus dilakukan secara otomatis. Masalah ini hanya dapat diselesaikan dengan "menanamkan" sistem perlindungan kriptografi antara sistem manajemen cadangan dan perangkat yang menulis data (pita, drive DVD, dll.).
Jadi, untuk dapat menggunakannya di bank, produk kriptografi juga harus dapat bekerja dengan berbagai perangkat yang digunakan untuk menulis cadangan ke media penyimpanan: pita, drive CD dan DVD, hard disk yang dapat dilepas, dll.
Saat ini, ada tiga jenis produk yang dirancang untuk meminimalkan risiko yang terkait dengan akses tidak sah ke pencadangan. Yang pertama termasuk perangkat khusus. Solusi perangkat keras semacam itu memiliki banyak keuntungan, termasuk enkripsi informasi yang andal dan kecepatan operasi yang tinggi. Namun, mereka memiliki tiga kelemahan signifikan yang mencegahnya digunakan di bank. Pertama: biaya yang sangat tinggi (puluhan ribu rupiah). Kedua: kemungkinan masalah dengan impor ke Rusia (kita tidak boleh lupa bahwa kita berbicara tentang sarana kriptografi). Kerugian ketiga adalah ketidakmampuan untuk menghubungkan penyedia crypto bersertifikat eksternal dengan mereka. Kartu-kartu ini hanya berfungsi dengan algoritma enkripsi yang diterapkan di dalamnya pada tingkat perangkat keras.
Kelompok kedua dari sistem perlindungan untuk perlindungan kriptografi salinan cadangan terdiri dari modul yang ditawarkan kepada pelanggan mereka oleh pengembang perangkat lunak dan perangkat keras untuk cadangan. Mereka ada untuk semua produk paling terkenal di bidang ini: ArcServe, Veritas Backup Exec, dll. Benar, mereka juga memiliki karakteristiknya sendiri. Yang paling penting adalah bekerja hanya dengan perangkat lunak atau drive "Anda". Sementara itu, sistem informasi bank terus berkembang. Dan ada kemungkinan bahwa penggantian atau perluasan sistem cadangan mungkin memerlukan biaya tambahan untuk memodifikasi sistem perlindungan. Selain itu, sebagian besar produk dalam grup ini menerapkan algoritma enkripsi lama yang lambat (misalnya, 3DES), tidak ada alat manajemen kunci, dan tidak ada kemampuan untuk menghubungkan penyedia enkripsi eksternal.
Semua ini memaksa kami untuk memperhatikan sistem perlindungan kriptografi cadangan dari kelompok ketiga. Ini termasuk perangkat lunak yang dikembangkan secara khusus, perangkat lunak dan perangkat keras dan produk perangkat keras yang tidak terikat pada sistem pengarsipan data tertentu. Mereka mendukung berbagai perangkat perekaman informasi, yang memungkinkan mereka untuk digunakan di seluruh bank, termasuk semua cabangnya. Ini memastikan bahwa perlindungan yang digunakan konsisten dan biaya operasi ditekan seminimal mungkin.
Namun, perlu dicatat bahwa, terlepas dari semua kelebihannya, hanya ada sedikit produk dari kelompok ketiga di pasaran. Ini kemungkinan besar karena kurangnya permintaan yang besar untuk sistem perlindungan kriptografi untuk cadangan. Setelah manajemen bank dan organisasi besar lainnya menyadari realitas risiko yang terkait dengan pengarsipan informasi bisnis, jumlah pemain di pasar ini akan bertambah.
Perlindungan orang dalam
Penelitian terbaru di bidang keamanan informasi, seperti Survei Kejahatan dan Keamanan Komputer CSI/FBI tahunan, telah menunjukkan bahwa kerugian finansial perusahaan dari sebagian besar ancaman menurun dari tahun ke tahun. Namun, ada beberapa risiko, yang kerugiannya terus bertambah. Salah satunya adalah pencurian informasi rahasia yang disengaja atau pelanggaran aturan penanganannya oleh karyawan yang aksesnya ke data komersial diperlukan untuk menjalankan tugas resminya. Mereka disebut orang dalam.
Dalam sebagian besar kasus, pencurian informasi rahasia dilakukan menggunakan media seluler: CD dan DVD, perangkat ZIP, dan yang terpenting, semua jenis drive USB. Distribusi besar-besaran merekalah yang menyebabkan berkembangnya pengetahuan orang dalam di seluruh dunia. Kepala sebagian besar bank sangat menyadari apa yang bisa terancam, misalnya, mendapatkan database dengan data pribadi klien mereka atau, terlebih lagi, transaksi di rekening mereka ke tangan struktur kriminal. Dan mereka mencoba menangani kemungkinan pencurian informasi dengan metode organisasi yang tersedia bagi mereka.
Namun, metode organisasi tidak efektif dalam kasus ini. Hari ini, Anda dapat mengatur transfer informasi antar komputer menggunakan flash drive mini, ponsel, pemutar mp3, kamera digital ... Tentu saja, Anda dapat mencoba untuk melarang semua perangkat ini dibawa ke kantor, tetapi ini, pertama-tama , akan berdampak negatif pada hubungan dengan karyawan dan kedua, masih sangat sulit untuk membangun kontrol yang benar-benar efektif atas orang - bank bukanlah "kotak surat". Dan bahkan menonaktifkan semua perangkat di komputer yang dapat digunakan untuk menulis informasi ke media eksternal (disk FDD dan ZIP, drive CD dan DVD, dll.) dan port USB tidak akan membantu. Bagaimanapun, yang pertama diperlukan untuk bekerja, sedangkan yang terakhir terhubung ke berbagai periferal: printer, pemindai, dll. Dan tidak ada yang dapat mencegah seseorang mematikan printer selama satu menit, memasukkan flash drive ke port yang kosong dan menyalin informasi penting ke dalamnya. Anda tentu saja dapat menemukan metode perlindungan asli. Misalnya, di satu bank mereka mencoba metode pemecahan masalah ini: mereka mengisi sambungan port USB dan kabel dengan resin epoksi, "mengikat" yang terakhir dengan erat ke komputer. Tapi, untungnya, ada metode kontrol yang lebih modern, andal, dan fleksibel saat ini.
Cara paling efektif untuk meminimalkan risiko yang terkait dengan orang dalam adalah perangkat lunak khusus yang secara dinamis mengelola semua perangkat dan port di komputer yang dapat digunakan untuk menyalin informasi. Prinsip kerja mereka adalah sebagai berikut. Untuk setiap grup pengguna atau untuk setiap pengguna secara terpisah, izin diatur untuk menggunakan berbagai port dan perangkat. Keuntungan terbesar dari perangkat lunak tersebut adalah fleksibilitasnya. Anda dapat menerapkan batasan untuk jenis perangkat tertentu, modelnya, dan instance individualnya. Hal ini memungkinkan penerapan kebijakan distribusi hak akses yang sangat kompleks.
Misalnya, beberapa karyawan dapat diizinkan menggunakan printer dan pemindai apa pun yang terhubung ke port USB. Semua perangkat lain yang dimasukkan ke port ini akan tetap tidak dapat diakses. Jika bank menggunakan sistem otentikasi pengguna berbasis token, maka dalam pengaturan Anda dapat menentukan model kunci yang digunakan. Kemudian pengguna akan diizinkan untuk hanya menggunakan perangkat yang dibeli oleh perusahaan, dan yang lainnya tidak akan berguna.
Berdasarkan prinsip sistem perlindungan yang dijelaskan di atas, Anda dapat memahami poin apa yang penting ketika memilih program yang menerapkan pemblokiran dinamis perangkat perekam dan port komputer. Pertama, ini adalah fleksibilitas. Sistem proteksi harus mencakup seluruh rentang kemungkinan port dan perangkat input-output. Jika tidak, risiko pencurian informasi komersial tetap tinggi. Kedua, perangkat lunak yang dimaksud harus fleksibel dan memungkinkan pembuatan aturan menggunakan sejumlah besar berbagai informasi tentang perangkat: jenisnya, produsen model, nomor unik yang dimiliki setiap instance, dll. Dan ketiga, sistem insider protection harus dapat terintegrasi dengan sistem informasi bank, khususnya dengan Active Directory. Jika tidak, administrator atau petugas keamanan harus memelihara dua basis data pengguna dan komputer, yang tidak hanya merepotkan, tetapi juga meningkatkan risiko kesalahan.
Menyimpulkan
Jadi, saat ini ada produk di pasaran yang dengannya bank mana pun dapat mengatur sistem yang andal untuk melindungi informasi dari akses dan penyalahgunaan yang tidak sah. Benar, saat memilihnya, Anda harus sangat berhati-hati. Idealnya, ini harus dilakukan oleh spesialis kita sendiri dengan tingkat yang sesuai. Diperbolehkan menggunakan layanan pihak ketiga. Namun, dalam kasus ini, situasi mungkin terjadi ketika bank akan dengan terampil menerapkan perangkat lunak yang tidak memadai, tetapi yang bermanfaat bagi pemasok. Selain itu, pasar konsultasi keamanan informasi domestik masih dalam masa pertumbuhan.
Sementara itu, membuat pilihan yang tepat tidak sulit sama sekali. Cukup dengan mempersenjatai diri dengan kriteria yang telah kami daftarkan dan mempelajari pasar sistem keamanan dengan cermat. Tapi ada "jebakan" di sini yang harus diingat. Idealnya, sistem keamanan informasi bank harus terpadu. Artinya, semua subsistem harus diintegrasikan ke dalam sistem informasi yang ada dan, sebaiknya, memiliki manajemen yang sama. Jika tidak, peningkatan biaya tenaga kerja untuk administrasi perlindungan dan peningkatan risiko karena kesalahan dalam manajemen tidak dapat dihindari. Oleh karena itu, untuk membangun ketiga subsistem perlindungan yang dijelaskan hari ini, lebih baik memilih produk yang dirilis oleh satu pengembang. Saat ini di Rusia ada perusahaan yang membuat semua yang diperlukan untuk melindungi informasi perbankan dari akses yang tidak sah.
Sistem perlindungan informasi bank sangat berbeda dengan strategi serupa dari perusahaan dan organisasi lain. Hal ini terutama karena sifat spesifik dari ancaman, serta aktivitas publik bank, yang dipaksa untuk membuat akses ke rekening cukup mudah untuk kenyamanan pelanggan.
Dengan perkembangan dan perluasan ruang lingkup teknologi komputer, semakin akut masalah untuk memastikan keamanan sistem komputer dan melindungi informasi yang disimpan dan diproses di dalamnya dari berbagai ancaman. Ada beberapa alasan obyektif untuk ini.
Yang utama adalah peningkatan tingkat kepercayaan dalam sistem pemrosesan informasi otomatis. Mereka dipercayakan dengan pekerjaan yang paling bertanggung jawab, yang kualitasnya menentukan kehidupan dan kesejahteraan banyak orang. Komputer mengontrol proses teknologi di perusahaan dan pembangkit listrik tenaga nuklir, pergerakan pesawat dan kereta api, melakukan transaksi keuangan, memproses informasi rahasia.
Ada berbagai opsi untuk melindungi informasi - dari penjaga keamanan di pintu masuk hingga metode yang diverifikasi secara matematis untuk menyembunyikan data dari kenalan. Selain itu, kita dapat berbicara tentang perlindungan global dan aspek individualnya: perlindungan komputer pribadi, jaringan, basis data, dll.
Perlu dicatat bahwa tidak ada sistem yang sepenuhnya aman. Kita dapat berbicara tentang keandalan sistem, pertama, hanya dengan probabilitas tertentu, dan kedua, tentang perlindungan dari kategori pelanggar tertentu. Namun demikian, penetrasi ke dalam sistem komputer dapat diramalkan. Pertahanan adalah semacam kompetisi antara pertahanan dan serangan: orang yang tahu lebih banyak dan memberikan langkah-langkah efektif adalah pemenangnya.
Organisasi perlindungan sistem otomatis untuk memproses informasi bank adalah satu set tindakan yang harus mempertimbangkan semua fitur dari proses pemrosesan informasi. Terlepas dari ketidaknyamanan yang ditimbulkan pada pengguna selama bekerja, dalam banyak kasus, peralatan pelindung mungkin mutlak diperlukan untuk berfungsinya sistem secara normal. Ketidaknyamanan utama yang disebutkan di atas termasuk Yu.V. Gaikovich, A.S. Pershin. Keamanan sistem perbankan elektronik.-M.: United Europe, 1994.- S.33:
Sulit membayangkan bank modern tanpa sistem informasi otomatis. Koneksi komputer satu sama lain dan dengan komputer yang lebih kuat, serta dengan komputer bank lain juga merupakan syarat yang diperlukan untuk keberhasilan operasi bank - ada terlalu banyak operasi yang perlu dilakukan dalam waktu singkat. .
Pada saat yang sama, sistem informasi menjadi salah satu aspek yang paling rentan dari bank modern, menarik penyusup, baik dari staf bank maupun dari luar. Perkiraan kerugian dari kejahatan yang terkait dengan gangguan dalam kegiatan sistem informasi bank sangat bervariasi. Dipengaruhi oleh berbagai metode untuk menghitungnya. Pencurian bank rata-rata menggunakan dana elektronik adalah sekitar $9.000, dan salah satu skandal paling terkenal melibatkan upaya untuk mencuri $700 juta (First National Bank, Chicago).
Selain itu, perlu untuk memperhitungkan tidak hanya jumlah kerusakan langsung, tetapi juga tindakan yang sangat mahal yang dilakukan setelah upaya yang berhasil untuk membobol sistem komputer. Jadi, salah satu contoh paling mencolok adalah hilangnya data pekerjaan dengan rekening rahasia Bank of England pada Januari 1999. Kerugian ini memaksa bank untuk mengubah kode semua rekening koresponden. Dalam hal ini, di Inggris, semua pasukan intelijen dan kontra intelijen yang tersedia disiagakan untuk mencegah kemungkinan kebocoran informasi yang dapat menyebabkan kerusakan besar. Pemerintah mengambil tindakan ekstrim untuk memastikan bahwa orang luar tidak mengetahui rekening dan alamat yang dikirim oleh Bank of England ratusan miliar dolar setiap hari. Selain itu, di Inggris Raya mereka lebih takut pada situasi di mana data dapat tersedia untuk layanan khusus asing. Dalam hal ini, seluruh jaringan koresponden keuangan Bank of England akan terungkap. Kerusakan itu dihilangkan dalam beberapa minggu.
Adzhiev V. Mitos tentang keamanan perangkat lunak: pelajaran dari bencana terkenal // Sistem terbuka.-1999. - No.6 .-- C..21-24
Layanan yang disediakan oleh bank saat ini sebagian besar didasarkan pada penggunaan sarana interaksi elektronik antara bank, bank dan klien mereka serta mitra dagang. Saat ini, akses ke layanan perbankan telah dimungkinkan dari berbagai lokasi terpencil, termasuk terminal rumah dan komputer kantor. Fakta ini membuat seseorang menjauh dari konsep "pintu terkunci", yang merupakan ciri khas bank di tahun 60-an, ketika komputer digunakan dalam banyak kasus dalam mode batch sebagai alat bantu dan tidak memiliki hubungan dengan dunia luar.
Tingkat peralatan otomasi memainkan peran penting dalam kegiatan bank dan, oleh karena itu, secara langsung mempengaruhi posisi dan pendapatannya. Menguatnya persaingan antar bank menyebabkan perlunya pengurangan waktu penyelesaian, peningkatan jangkauan dan peningkatan kualitas layanan yang diberikan. Semakin sedikit waktu yang dibutuhkan untuk penyelesaian antara bank dan klien, semakin tinggi omset bank dan, akibatnya, keuntungan akan menjadi. Selain itu, bank akan dapat merespon lebih cepat terhadap perubahan situasi keuangan. Berbagai layanan bank (pertama-tama, ini mengacu pada kemungkinan pembayaran non-tunai antara bank dan pelanggannya menggunakan kartu plastik) dapat secara signifikan meningkatkan jumlah pelanggannya dan, sebagai hasilnya, meningkatkan keuntungan.
Keamanan informasi bank harus mempertimbangkan faktor-faktor khusus berikut:
Kejahatan di bidang perbankan juga memiliki ciri khas tersendiri Gamza V.A. , Tkachuk I.B. Keamanan bank komersial.- M..: United Europe, 2000.- C..24:
Sebagai aturan, penyerang biasanya menggunakan akun mereka sendiri untuk mentransfer jumlah yang dicuri. Kebanyakan penjahat tidak tahu bagaimana cara “mencuci” uang yang dicuri. Mengetahui cara melakukan kejahatan dan mengetahui cara mendapatkan uang bukanlah hal yang sama.
Kebanyakan kejahatan komputer kecil. Kerusakan dari mereka berkisar dari $ 10.000 hingga $ 50.000.
Kejahatan komputer yang berhasil biasanya membutuhkan sejumlah besar transaksi perbankan (hingga beberapa ratus). Namun, jumlah besar dapat ditransfer hanya dalam beberapa transaksi.
Kebanyakan penyerang adalah juru tulis. Meskipun staf puncak bank juga dapat melakukan kejahatan dan menyebabkan lebih banyak kerusakan pada bank, kasus seperti itu jarang terjadi.
Kejahatan komputer tidak selalu berteknologi tinggi. Cukup memalsukan data, mengubah parameter lingkungan ASOIB, dll., Dan tindakan ini juga tersedia untuk personel layanan.
Banyak penjahat dunia maya menjelaskan tindakan mereka dengan fakta bahwa mereka hanya meminjam dari bank dengan pengembalian berikutnya. Namun, sebagai aturan, tidak ada "pengembalian".
Kekhususan perlindungan sistem otomatis untuk memproses informasi bank adalah karena fitur tugas yang mereka selesaikan:
Sebagai aturan, ASOIB memproses aliran besar permintaan yang terus-menerus tiba secara real time, yang masing-masing tidak memerlukan banyak sumber daya untuk diproses, tetapi semuanya dapat diproses hanya oleh sistem berkinerja tinggi;
ASOIB menyimpan dan memproses informasi rahasia yang tidak ditujukan untuk masyarakat umum. Pemalsuan atau kebocorannya dapat menyebabkan konsekuensi serius (bagi bank atau kliennya). Oleh karena itu, ASOIB ditakdirkan untuk tetap relatif tertutup, beroperasi di bawah kendali perangkat lunak tertentu dan memberikan perhatian besar untuk memastikan keamanannya;
Fitur lain dari ASOIB adalah peningkatan persyaratan untuk keandalan perangkat lunak dan perangkat keras. Karena itu, banyak ASOIB modern tertarik pada apa yang disebut arsitektur toleransi kesalahan komputer, yang memungkinkan pemrosesan informasi secara terus-menerus bahkan dalam kondisi berbagai kegagalan dan kegagalan.
Penggunaan ASOI oleh bank dikaitkan dengan kekhususan perlindungan sistem ini, sehingga bank harus lebih memperhatikan perlindungan sistem otomatis mereka.
Kesimpulan dari bab pertama:
Pada tahun 2004 (dan kemudian, dengan amandemen yang dibuat pada tahun 2006), komunitas perbankan ditawari standar Bank Rusia "Memastikan keamanan informasi organisasi dalam sistem perbankan Federasi Rusia atau STO BR STBP", yang dirancang untuk mencegah munculnya ancaman dalam sistem keamanan informasi bank dan risiko terkait. Saat ini sistem standar telah memiliki lima dokumen, termasuk standar audit, metodologi untuk menilai kepatuhan terhadap persyaratan Standar, serta rekomendasi yang sesuai untuk standardisasi (RS).
Tabel 1
|
Memastikan keamanan informasi organisasi sistem perbankan Federasi Rusia Standar (STO) dan rekomendasi untuk standardisasi (RS) |
|||
|
Penggolong STO BR STBP - 0,0 |
Istilah dan Definisi STO BR STBP - 0.1 |
||
|
Ketentuan Umum STO BR STBP - 1.0 |
Audit keamanan informasi STO BR STBP - 1.1 |
Metodologi penilaian kesesuaian STO BR STBP - 1.2 |
|
|
Dokumen keamanan informasi RS BR STBP - 2.0 |
Panduan Penilaian Diri RS BR STBP - 2.1 |
||
|
Metodologi klasifikasi aset RS BR STBP - 2.2 |
Metodologi penilaian risiko RS BR STBP - 2.3 |
||
Kumpulan standar didasarkan pada ideologi standar kualitas internasional ISO (The International Organization for Standartization) seri 9000. Arti dari standar ini adalah sebagai berikut: jika kondisi produksi konstan disediakan dan dikendalikan selama produksi suatu produk , maka kualitas produk akan selalu sesuai dengan aslinya, terlebih dahulu diberikan persyaratan. Ideologi sistem standar internasional seri ISO 9000 adalah dasar ideologi standar COBIT, ISO / IES 17799, 15408, dan kemudian seri 27000, yang merupakan standar dasar keamanan informasi.
Hal berikutnya yang menjadi dasar ideologi standar keamanan Bank Rusia adalah risiko keamanan informasi, yang sesuai dengan rekomendasi Basel II, termasuk dalam risiko operasional.
Untuk mengembangkan standar, studi analog asing, praktik terbaik standar nasional, standar ISO internasional dilakukan, pekerjaan penelitian dilakukan, subkomite khusus untuk standardisasi dibuat (subkomite No. 3 "Keamanan informasi dalam kredit dan keuangan lingkup" Komite Teknis No. 362 "Keamanan informasi "Layanan Federal untuk Regulasi Teknis dan Metrologi).
Subkomite adalah badan permanen yang memastikan di tingkat negara bagian pengembangan, koordinasi, persiapan untuk persetujuan dan pemeriksaan dokumen di bidang standardisasi untuk perlindungan informasi dan keamanan informasi di bidang kredit dan keuangan Federasi Rusia. Hari ini mencakup lebih dari dua puluh lembaga kredit terbesar, ditambah organisasi yang menempati tempat yang signifikan di pasar untuk alat dan layanan keamanan informasi, dan perwakilan dari badan pengatur teknis.
Selain itu, untuk mendukung penerapan Standar dalam praktiknya, komunitas ABISS (Asosiasi untuk Standar Keamanan Informasi Perbankan) telah dibuat - komunitas pengguna standar Bank Sentral Federasi Rusia untuk memastikan keamanan informasi organisasi dari sistem perbankan Federasi Rusia. Komunitas ini mencakup semua organisasi kredit dan keuangan yang tertarik, termasuk banyak bank.
Prinsip-prinsip keamanan informasi menurut Standar Bank Rusia (bukan jawaban yang sangat jelas, semuanya ada di tumpukan, tetapi tidak ada yang lebih baik)
Mengapa diperlukan standar?
Bank bekerja dengan uang entitas ekonomi dan keuangan lainnya. Jika ia mengalami kesulitan serius, yang pasti dan sangat cepat diketahui, lembaga kredit lain akan dipaksa untuk menutup jalur pembiayaan kembali untuknya, dan ini akan mendorong klien untuk menarik atau tidak memperbarui simpanan mereka - dan ini pasti akan menyebabkan ke krisis likuiditas. Destabilisasi pekerjaan bahkan salah satu komponennya dapat menyebabkan keruntuhan sistemik, yang sudah menjadi ancaman bagi negara.
Prinsip dasar untuk memastikan Standar IS.
Prinsip-prinsip umum fungsi aman suatu organisasi mencerminkan esensi dari konsep "keamanan informasi organisasi sistem perbankan Federasi Rusia", yang didefinisikan dalam standar sebagai "keadaan perlindungan kepentingan (tujuan ) dari organisasi sistem perbankan (BS) Federasi Rusia dalam kondisi ancaman di bidang informasi."
Secara khusus, mereka fokus untuk mencegah situasi seperti itu ketika sistem kontrol akses yang sangat kuat, mahal, dan bersertifikat dipasang di sistem pemilik, dan pada kenyataannya sebulan kemudian ternyata semua orang dan semuanya diizinkan dalam sistem. Pada saat yang sama, pemiliknya tetap yakin bahwa ia, setelah menginvestasikan dana yang signifikan, memiliki sistem keamanan yang andal, tetapi dalam praktiknya semuanya berbeda. Dengan demikian, hanya tindakan perlindungan yang harus dipasang di sistem, operasi yang benar yang dapat diverifikasi.
Model ancaman dan pelanggar standar IS.
Kegiatan organisasi RF BS didukung oleh infrastruktur informasi yang termasuk dalam strukturnya, yang memastikan penerapan teknologi perbankan dan dapat direpresentasikan dalam bentuk hierarki level utama berikut:
- fisik (jalur komunikasi, perangkat keras, dll.);
- jaringan (perangkat keras jaringan: router, sakelar, hub, dll.);
- aplikasi dan layanan jaringan;
- sistem operasi (OS);
- sistem manajemen basis data (DBMS);
- proses dan aplikasi teknologi perbankan;
- proses bisnis organisasi.
Pada saat yang sama, pada setiap tingkat ancaman yang terdaftar dan sumbernya (termasuk penyerang), metode dan sarana perlindungan dan pendekatan untuk menilai efektivitas berbeda. Organisasi harus mendefinisikan objek perlindungan khusus di setiap tingkat infrastruktur informasi.
Hal ini juga ditentukan oleh ketentuan standar yang memungkinkan untuk mengembangkan model ancaman dan pelanggar IS untuk organisasi tertentu. Persyaratan untuk model ancaman IS, termasuk deskripsi sumber ancaman, kerentanan yang digunakan oleh ancaman, metode dan objek serangan yang sesuai untuk menerapkan ancaman, jenis kemungkinan kerugian, skala potensi kerusakan, didasarkan pada persyaratan standar internasional yang relevan. .
Untuk sumber ancaman - orang, model penyusup (pelanggar) dapat dikembangkan, termasuk deskripsi pengalaman, pengetahuan, sumber daya yang tersedia yang diperlukan untuk menerapkan ancaman, dan kemungkinan motivasi untuk tindakan mereka.
IS kebijakan standar.
Standar tersebut mencakup persyaratan (aturan) keamanan informasi umum dalam delapan area berikut, yang harus tercermin dalam kebijakan keamanan informasi organisasi:
1. penugasan dan distribusi peran dan memastikan kepercayaan pada personel;
2. IS sistem perbankan otomatis pada tahapan siklus hidup;
3. Penyediaan IS untuk kontrol akses dan registrasi;
4. menyediakan IS dengan sarana perlindungan anti-virus;
5. memberikan keamanan informasi saat menggunakan sumber daya Internet;
6. memberikan keamanan informasi saat menggunakan alat perlindungan informasi kriptografi;
7. memberikan keamanan informasi untuk proses teknologi pembayaran bank;
8. penyediaan SI untuk proses teknologi informasi perbankan.
Pada saat yang sama, kebijakan keamanan informasi organisasi dapat mempertimbangkan bidang keamanan informasi lainnya yang memenuhi tujuan bisnisnya.
Kejahatan komputer di bank merupakan realisasi dari ancaman terhadap keamanan informasi.
Ancaman dibagi menjadi umum (khas untuk sistem informasi apa pun) dan spesifik (terkait dengan fungsi lembaga kredit). Klasifikasi berikut dapat diringkas:
Ancaman alam:
Bencana alam (Gangguan sistem informasi. Penghancuran fisik orang, pembawa)
Badai magnetik dan radiasi radioaktif (Dampak pada media penyimpanan magnetik, sarana elektronik untuk pemrosesan dan transmisi data. Kegagalan dan malfungsi peralatan)
Teknis:
Pemadaman listrik (Kehilangan informasi)
Kegagalan dan malfungsi perangkat keras (Distorsi dan hilangnya informasi)
Radiasi dan interferensi elektromagnetik (Transfer informasi yang tidak sah di luar sistem informasi)
Kebocoran melalui saluran komunikasi (karena kemungkinan melepasnya dengan sensor khusus atau melalui koneksi langsung.)
Faktor manusia
Tindakan yang tidak disengaja atau disengaja dari personel manajemen dan pemeliharaan, pemrogram, pengguna sistem informasi, layanan keamanan, dll.
Khusus untuk sistem perbankan, ancaman spesifik berikut ini penting:
- akses tidak sah oleh orang yang tidak berwenang yang tidak termasuk dalam jumlah karyawan bank, dan pengenalan dengan informasi rahasia yang disimpan;
- pengenalan karyawan bank dengan informasi yang tidak boleh mereka akses;
- penyalinan program dan data tanpa izin;
- intersepsi dan pengungkapan selanjutnya atas informasi rahasia yang dikirimkan melalui saluran komunikasi;
- pencurian media magnetik yang berisi informasi rahasia;
- pencurian dokumen bank yang dicetak;
- penghancuran informasi yang tidak disengaja atau disengaja;
- modifikasi yang tidak sah oleh karyawan bank atas dokumen keuangan, laporan dan database.
- pemalsuan pesan yang dikirimkan melalui saluran komunikasi, termasuk pengenaan pesan yang dikirimkan sebelumnya;
- penolakan untuk menerima informasi;
- penghancuran struktur file karena pengoperasian perangkat lunak atau perangkat keras yang salah;
- penghancuran informasi yang disebabkan oleh pengaruh virus;
- pemusnahan arsip informasi perbankan yang tersimpan pada media magnetik;
- pencurian peralatan;
- bug dalam perangkat lunak;
- kegagalan peralatan, termasuk karena pemadaman listrik dan faktor lain yang menghambat pengoperasian peralatan.
DALAM KASUS APAPUN BAGAIMANA CARA MENJAGANYA AMAN DI BANK
Sistem keamanan perbankan terintegrasi adalah seperangkat tindakan organisasi dan hukum yang saling terkait yang diambil untuk melindungi bank dari tindakan nyata atau potensial dari individu dan badan hukum yang dapat menyebabkan kerugian yang signifikan.
Tugas utama sistem keamanan adalah:
memastikan keamanan bank
organisasi pekerjaan kantor khusus, tidak termasuk penerimaan informasi rahasia yang tidak sah;
identifikasi dan lokalisasi kemungkinan saluran pengungkapan, kebocoran, dan akses tidak sah ke informasi rahasia dalam kegiatan sehari-hari dan dalam situasi ekstrem;
menjamin keamanan dalam segala jenis kegiatan, termasuk pertemuan, negosiasi, pertemuan yang berkaitan dengan kerjasama bisnis di tingkat nasional dan internasional;
memastikan perlindungan bangunan, bangunan, peralatan dan sarana teknis untuk memastikan kegiatan produksi;
memastikan keselamatan personel;
Sistem keamanan beroperasi berdasarkan dokumen organisasi dan hukum berikut:
piagam bank;
Peraturan keamanan;
Pedoman untuk perlindungan informasi rahasia;
Instruksi tentang prosedur untuk bekerja dengan spesialis asing;
Pedoman untuk rekayasa dan perlindungan teknis bangunan dan peralatan teknis.
