Qualsiasi informazione documentata, il cui uso improprio può arrecare danno alla Banca e/o al cliente che ha affidato le proprie informazioni alla Banca, è soggetta a tutela.
Tali informazioni includono:
1. Tutte le operazioni sui conti personali dei gestori degli stanziamenti.
2. Termini per la ricezione delle retribuzioni da parte di istituzioni e organizzazioni (in base ad accordi "stipendiali").
3. Piani di lavoro di controllo e revisione.
4. Atti di audit esterni e interni.
5. Informazioni sugli importi ricevuti da un determinato pagatore.
6. Corrispondenza con le forze dell'ordine.
7. Informazioni di carattere ufficiale, discusse nel corso delle riunioni tenute dai dirigenti.
8. Informazioni costituenti segreto commerciale di imprese, imprese, banche e altri soggetti economici.
9. Dati relativi al software utilizzato per elaborare il "giorno di negoziazione".
10. Schema della circolazione dei documenti della "giornata operativa".
11. La struttura dei sistemi automatizzati, le modalità di gestione dell'UA e le risorse informative da proteggere, gli elenchi delle password ei nomi degli apparati attivi.
12. Descrizione dei flussi informativi, topologia della gestione delle telecomunicazioni, layout degli elementi AS.
13. Sistema di sicurezza delle informazioni.
14. Informazioni sulle misure organizzative e tecniche per proteggere le informazioni.
15. Personale e numero di dipendenti della banca.
16. Dati personali sui dipendenti.
17. Informazioni dal fascicolo personale del dipendente, libro di lavoro, carta F. No. T-2.
18. Informazioni sul reddito di un cittadino e sui beni che gli appartengono per diritto di proprietà, dati sui salari e altri pagamenti ai dipendenti.
19. Materiali di indagine su richieste dei cittadini e violazioni della disciplina del lavoro.
20. Altre informazioni relative all'attività della banca, le cui restrizioni alla diffusione sono dettate da necessità imprenditoriali.
Le risorse AS includono dati, informazioni, software, hardware, strutture e telecomunicazioni.
La modalità di protezione delle informazioni è impostata
1.4.2. Possibili minacce alle risorse informative protette
Le minacce identificate includono:
1. Accesso non autorizzato.
2. Guasti intenzionali e non intenzionali nel funzionamento di apparecchiature informatiche, apparecchiature elettriche, ecc., che portano alla perdita o alla distorsione delle informazioni.
3. Intercettazione, distorsione o modifica delle informazioni trasmesse attraverso i canali di comunicazione.
4. Accesso illegale alle informazioni.
1.4.3. Protezione delle risorse informative
La prevenzione di possibili minacce alle risorse informative protette viene effettuata da:
1. Da accessi non autorizzati- realizzazione di un sistema di protezione delle informazioni da accessi non autorizzati, che è un complesso di soluzioni software e hardware e organizzative.
Le decisioni organizzative includono:
· Garantire la protezione dell'impianto in cui si trova la centrale nucleare protetta al fine di prevenire il furto di SVT, vettori informativi, nonché da UA a SVT e linee di comunicazione;
selezione della classe di sicurezza AS in funzione delle caratteristiche del trattamento delle informazioni e del livello della sua riservatezza;
organizzazione della contabilità, conservazione ed emissione di supporti informatici, password, chiavi, manutenzione della documentazione ufficiale, accettazione di nuovi software inclusi nell'AS, nonché monitoraggio dell'andamento del processo tecnologico di elaborazione delle informazioni riservate;
· elaborazione di adeguata documentazione organizzativa e amministrativa.
La connessione a reti informatiche globali viene effettuata solo dopo aver stabilito l'effettiva necessità di tale connessione, l'attuazione di una gamma completa di misure di protezione.
2. Da fallimenti intenzionali e non nel funzionamento di apparecchiature informatiche, apparecchiature elettriche, ecc., con conseguente perdita o distorsione delle informazioni.
Il software (software) necessario al funzionamento dei sistemi informativi e di telecomunicazione è redatto sotto forma di elenco e deve essere approvato dal responsabile per l'uso.
L'installazione sui luoghi di lavoro di qualsiasi programma viene eseguita solo da specialisti IT. L'autoinstallazione del software è severamente vietata.
Al fine di garantire la protezione delle informazioni riservate dalla distorsione o dalla distruzione in caso di malfunzionamento del computer e delle apparecchiature, viene eseguito il backup delle informazioni protette e vengono utilizzati anche gruppi di continuità. La frequenza e l'ordine del backup è determinato dall'amministratore della LAN, in base alla necessità di preservare le informazioni, il software del database.
3. Intercettazione, distorsione o modifica delle informazioni trasmesse attraverso i canali di comunicazione.
È vietato il trasferimento di informazioni riservate contrassegnate come "Per uso ufficiale" attraverso canali di comunicazione aperti utilizzando e-mail, fax e qualsiasi altro tipo di comunicazione senza l'uso della crittografia.
La posta elettronica viene utilizzata per svolgere il flusso di lavoro della banca con altre organizzazioni. Dopo la giornata lavorativa, i luoghi in cui si trova l'apparecchiatura di commutazione sono sigillati, le porte sono bloccate, è vietato l'accesso a persone non autorizzate senza l'accompagnamento di una persona responsabile. (Gli estranei sono anche impiegati di banca che, in base ai loro doveri funzionali, non sono legati al funzionamento di questa apparecchiatura).
Le persone responsabili effettuano regolarmente il controllo visivo di tutte le telecomunicazioni al fine di identificare o prevenire tempestivamente i tentativi di collegare dispositivi speciali per la lettura delle informazioni.
4. Accesso illegale alle informazioni.
Al fine di prevenire l'accesso illegale alle informazioni, l'accesso ai locali in cui vengono trattate le informazioni soggette a protezione dovrebbe essere limitato.
Nell'organizzare il proprio posto di lavoro, il dipendente dispone lo schermo di visualizzazione in modo tale da rendere difficile la visualizzazione delle informazioni visualizzate sullo schermo da parte di persone non autorizzate.
Quando lascia il posto di lavoro per qualsiasi motivo, il dipendente deve disconnettersi dalla rete o bloccare lo schermo del monitor.
Quale dovrebbe essere la protezione antivirus?
In generale, la protezione antivirus di un sistema informativo bancario dovrebbe essere costruita secondo un principio gerarchico:
I servizi di tutti i livelli sono combinati in un'unica rete di computer (forma un'unica infrastruttura) attraverso una rete locale.
I servizi a livello aziendale devono funzionare in modo continuativo.
La gestione di tutti i livelli dovrebbe essere svolta da personale specializzato, per il quale dovrebbero essere forniti strumenti di amministrazione centralizzata.
Il sistema antivirus dovrebbe fornire i seguenti tipi di servizi a livello aziendale:
a livello di reparto:
Richieste funzionali
Requisiti generali
Requisiti per l'affidabilità e il funzionamento del sistema
1. Al primo livello, proteggono la connessione a Internet o alla rete di un provider di servizi di comunicazione: si tratta di un firewall e di un gateway di posta, poiché secondo le statistiche, circa l'80% dei virus entra da lì. Va notato che in questo modo non verrà rilevato più del 30% dei virus, poiché il restante 70% verrà rilevato solo durante l'esecuzione.
L'uso di antivirus per i firewall oggi si riduce a filtrare l'accesso a Internet controllando contemporaneamente la presenza di virus nel traffico di passaggio.
La scansione antivirus eseguita da tali prodotti è molto lenta ed ha un livello di rilevazione estremamente basso, pertanto, in assenza della necessità di filtrare i siti web visitati dagli utenti, l'utilizzo di tali prodotti non è consigliabile.
2. Di norma, proteggere il file server, il database server e il server dei sistemi di collaborazione, poiché contengono le informazioni più importanti. L'antivirus non sostituisce gli strumenti di backup delle informazioni, ma senza di esso è possibile che si verifichi una situazione in cui le copie di backup vengono infettate e il virus diventa attivo sei mesi dopo l'infezione.
3. Infine, proteggono le workstation, sebbene non contengano informazioni importanti, la protezione può ridurre notevolmente i tempi di ripristino di emergenza.
Infatti, tutte le componenti del sistema informativo bancario relative al trasporto delle informazioni e/o alla loro conservazione sono soggette a protezione antivirus:
Ø File server;
Ø Postazioni di lavoro;
Ø Postazioni di lavoro degli utenti mobili;
Ø Server di backup;
Ø Server di posta elettronica;
Ø La protezione dei luoghi di lavoro (compresi gli utenti mobili) dovrebbe essere effettuata tramite strumenti antivirus e firewall delle postazioni di lavoro.
Gli strumenti di schermatura della rete sono progettati principalmente per proteggere gli utenti mobili quando lavorano tramite Internet, nonché per proteggere le workstation LAN aziendali dai trasgressori delle politiche di sicurezza interne.
Caratteristiche principali dei firewall per workstation:
Controllare le connessioni in entrambe le direzioni
Consenti alle applicazioni note di accedere a Internet senza l'intervento dell'utente (configurazione automatica)
Procedura guidata per la configurazione dell'applicazione (solo le applicazioni installate possono mostrare l'attività di rete)
Rendi il PC invisibile su Internet (nasconde le porte)
Prevenire gli attacchi noti degli hacker e i cavalli di Troia
Avvisare l'utente di tentativi di hacking
Scrivere le informazioni di connessione in un file di registro
Impedire l'invio senza preavviso di dati definiti sensibili
Impedire ai server di ricevere informazioni all'insaputa dell'utente (cookie)
La protezione antivirus dei sistemi informativi è la funzione più importante e permanente del sistema generale di sicurezza economica della banca. In questo caso, allentamenti temporanei e deviazioni dagli standard sono inaccettabili. Indipendentemente dalle soluzioni di protezione antivirus già esistenti in banca, è sempre utile condurre un audit aggiuntivo e valutare il sistema attraverso gli occhi di un esperto indipendente e competente.
La banca dati fa parte di qualsiasi sistema automatizzato come CAD, APCS, APCS, ecc. Il compito della banca dati è quello di mantenere il modello informativo in uno stato di estrema importanza e fornire le richieste degli utenti. Ciò richiede tre operazioni da eseguire sulla banca dati: abilitazione, cancellazione, modifica. Queste operazioni prevedono la memorizzazione e la modifica dei dati.
Con lo sviluppo di un sistema automatizzato cambia la composizione degli oggetti dell'area disciplinare, cambiano le connessioni tra di loro. Tutto questo dovrebbe riflettersi nel sistema informativo. Pertanto, l'organizzazione della banca dati deve essere flessibile. Mostriamo il posto della banca dati nel sistema automatizzato.
Quando si progetta una banca dati, è estremamente importante considerare due aspetti della fornitura delle richieste degli utenti.
1) Definire i confini di una specifica area disciplinare e sviluppare un modello informativo. Si noti che la banca dati dovrebbe fornire informazioni all'intero sistema sia nel presente che nel futuro, tenendo conto del suo sviluppo.
2) Lo sviluppo di una banca dati dovrebbe concentrarsi sul servizio efficiente delle richieste degli utenti. A questo proposito, è estremamente importante analizzare i tipi e le tipologie di richieste degli utenti. È inoltre estremamente importante analizzare i compiti funzionali di un sistema automatizzato per il quale questa banca sarà fonte di informazioni.
Gli utenti della banca dati si differenziano nei seguenti modi:
· sulla base della costanza della comunicazione con la banca.
Utenti : permanente e Una volta ;
Livello di autorizzazione. Parte dei dati deve essere protetta;
sotto forma di richieste. Le richieste possono essere fornite da programmatori, non programmatori, utenti di attività.
Data la grande eterogeneità degli utenti, la banca dati mette a disposizione uno strumento speciale che permette di riunire tutte le query in un'unica terminologia. Questo strumento si chiama dizionario di dati.
Diamo un'occhiata requisiti primari a cui bisogna rispondere banca dati da utenti esterni . La banca dati dovrebbe:
1. Fornire la possibilità di memorizzare e modificare grandi volumi di informazioni multidimensionali. Soddisfare i requisiti degli utenti attuali ed emergenti.
Fornire livelli specifici di affidabilità e coerenza delle informazioni archiviate.
3. Fornire l'accesso ai dati solo agli utenti che dispongono dell'autorità appropriata.
4. Fornire la possibilità di cercare informazioni su un gruppo arbitrario di funzionalità.
5. Soddisfare i requisiti di prestazione specificati durante l'elaborazione delle richieste.
6. Avere la capacità di riorganizzarsi ed espandersi quando si cambiano i confini dell'area tematica.
7. Fornire informazioni all'utente in varie forme.
8. Fornire la possibilità di servire contemporaneamente un gran numero di utenti esterni.
Per soddisfare questi requisiti, è essenziale introdurre la gestione centralizzata dei dati.
Diamo un'occhiata principali vantaggi della gestione centralizzata dati rispetto al software utilizzato in precedenza.
1) Ridurre la ridondanza dei dati memorizzati. I dati utilizzati da più applicazioni sono strutturati (integrati) e archiviati in un'unica copia.
2) Eliminazione dell'incoerenza dei dati memorizzati. A causa della non ridondanza dei dati, la situazione viene eliminata quando, quando un dato viene effettivamente modificato, sembra non essere modificato in tutti i record.
3) Utilizzo multi-aspetto dei dati con un'unica voce.
4) Ottimizzazione completa basata sull'analisi delle esigenze degli utenti. Vengono scelte strutture di dati che forniscono il miglior servizio.
5) Garantire la possibilità di standardizzazione. Ciò facilita lo scambio di dati con altri sistemi automatizzati, nonché le procedure per il monitoraggio e il recupero dei dati.
6) Garantire la possibilità di accesso autorizzato ai dati, ᴛ.ᴇ. disponibilità di meccanismi di protezione dei dati.
Va sottolineato che il problema principale della gestione centralizzata dei dati è garantire l'indipendenza dei programmi applicativi dai dati. Ciò è spiegato dal fatto che l'integrazione dei dati e l'ottimizzazione delle strutture dei dati richiedono modifiche nella rappresentazione memorizzata dei dati e nel metodo di accesso ai dati.
Produzione: La principale caratteristica distintiva della banca dati è la presenza di una gestione centralizzata dei dati.
Ordine di Rossandart del 28 marzo 2018 n. 156-st "Sull'approvazione dello standard nazionale della Federazione Russa"
Ordine di Rossandart dell'8 agosto 2017 n. 822-st "Sull'approvazione dello standard nazionale della Federazione Russa"
Gli obiettivi principali dell'attuazione dello standard "Garantire la sicurezza delle informazioni delle organizzazioni del sistema bancario della Federazione Russa. Disposizioni generali” STO BR IBBS-1.0 (di seguito denominato Standard):
I principali obiettivi della norma:
Sistema di pagamento via Internetè un sistema per condurre accordi tra organizzazioni finanziarie, imprenditoriali e utenti di Internet nel processo di acquisto/vendita di beni e servizi tramite Internet. È il sistema di pagamento che permette di trasformare un servizio di elaborazione degli ordini o una vetrina elettronica in un negozio a tutti gli effetti con tutti gli attributi standard: selezionando un prodotto o un servizio sul sito del venditore, l'acquirente può effettuare un pagamento senza uscire dal computer.
Nel sistema di e-commerce, i pagamenti sono soggetti a una serie di condizioni:
1. Rispetto della riservatezza. Quando effettua pagamenti su Internet, l'acquirente desidera che i suoi dati (ad esempio, il numero di carta di credito) siano noti solo alle organizzazioni che hanno il diritto legale di farlo.
2. Mantenere l'integrità delle informazioni. Le informazioni di acquisto non possono essere modificate da nessuno.
3. Autenticazione. Acquirenti e venditori devono essere sicuri che tutte le parti coinvolte nella transazione siano chi dicono di essere.
4. Modalità di pagamento. Possibilità di pagamento con qualsiasi mezzo di pagamento a disposizione dell'acquirente.
6. Garanzie di rischio del venditore. Quando si fa trading su Internet, il venditore è esposto a molti rischi associati al rifiuto della merce e alla malafede dell'acquirente. L'entità dei rischi deve essere concordata con il fornitore del sistema di pagamento e altre organizzazioni incluse nelle catene commerciali attraverso accordi speciali.
7. Ridurre al minimo le commissioni di transazione. La commissione di elaborazione della transazione per l'ordine e il pagamento delle merci è naturalmente inclusa nel loro costo, quindi abbassare il prezzo della transazione aumenta la competitività. È importante notare che la transazione deve essere pagata in ogni caso, anche se l'acquirente rifiuta la merce.
Tutte queste condizioni devono essere implementate nel sistema di pagamento Internet, che, in sostanza, sono versioni elettroniche dei sistemi di pagamento tradizionali.
Pertanto, tutti i sistemi di pagamento sono suddivisi in:
Addebito (lavorare con assegni elettronici e contanti digitali);
Credito (lavorare con carte di credito).
Sistemi di addebito
Gli schemi di pagamento con addebito sono costruiti in modo simile ai loro prototipi offline: assegni e contanti normali. Ci sono due parti indipendenti coinvolte nello schema: emittenti e utenti. Per emittente si intende il soggetto che gestisce il sistema di pagamento. Emette alcune unità elettroniche che rappresentano pagamenti (ad esempio denaro in conti bancari).
Gli utenti del sistema svolgono due funzioni principali. Effettuano e accettano pagamenti su Internet utilizzando articoli elettronici emessi.
Gli assegni elettronici sono analoghi ai normali assegni cartacei. Queste sono le istruzioni del pagatore alla sua banca per trasferire denaro dal suo conto al conto del beneficiario. L'operazione avviene quando il destinatario presenta un assegno in banca. Ci sono due differenze principali qui. Innanzitutto, quando scrive un assegno cartaceo, il pagatore inserisce la sua vera firma e, nella versione online, una firma elettronica. In secondo luogo, gli assegni stessi vengono emessi elettronicamente.
I pagamenti vengono effettuati in più fasi:
1. Il pagatore emette un assegno elettronico, lo firma con firma elettronica e lo invia al destinatario. Per garantire una maggiore affidabilità e sicurezza, il numero di conto corrente può essere codificato con la chiave pubblica della banca.
2. L'assegno viene presentato per il pagamento al sistema di pagamento. Inoltre, (o qui o nella banca al servizio del destinatario), la firma elettronica viene verificata.
3. Se la sua autenticità è confermata, viene consegnato un prodotto o viene fornito un servizio. Il denaro viene trasferito dal conto del pagatore al conto del destinatario.
La semplicità dello schema per effettuare i pagamenti (Fig. 43), purtroppo, è compensato dalle difficoltà della sua attuazione dovute al fatto che gli schemi di controllo non si sono ancora diffusi e non esistono centri di certificazione per l'implementazione della firma elettronica.
Una firma digitale elettronica (EDS) utilizza un sistema di crittografia a chiave pubblica. Questo crea una chiave privata per la firma e una chiave pubblica per la verifica. La chiave privata è conservata dall'utente, mentre la chiave pubblica è accessibile a tutti. Il modo più conveniente per distribuire le chiavi pubbliche consiste nell'utilizzare i centri di certificazione. Memorizza i certificati digitali contenenti la chiave pubblica e le informazioni sul proprietario. Ciò solleva l'utente dall'obbligo di distribuire personalmente la sua chiave pubblica. Inoltre, le autorità di certificazione forniscono l'autenticazione per garantire che nessuno possa generare chiavi per conto di un'altra persona.
La moneta elettronica simula completamente il denaro reale. Allo stesso tempo, l'organismo emittente - l'emittente - emette le proprie controparti elettroniche, denominate in modo diverso nei diversi sistemi (ad esempio coupon). Inoltre, vengono acquistati dagli utenti che li utilizzano per pagare gli acquisti, quindi il venditore li riscatta dall'emittente. Al momento dell'emissione, ogni unità monetaria è certificata da un sigillo elettronico, che viene verificato dalla struttura emittente prima del rimborso.
Una delle caratteristiche del denaro fisico è il suo anonimato, cioè non indica chi lo ha utilizzato e quando. Alcuni sistemi, per analogia, consentono al cliente di ricevere denaro elettronico in modo tale che il rapporto tra lui e il denaro non possa essere determinato. Questo viene fatto utilizzando uno schema di firma cieca.
Vale anche la pena notare che quando si utilizza la moneta elettronica, non è necessaria l'autenticazione, poiché il sistema si basa sull'emissione di denaro in circolazione prima del suo utilizzo.
La figura 44 mostra lo schema di pagamento tramite moneta elettronica.
Il meccanismo di pagamento è il seguente:
1. L'acquirente scambia in anticipo denaro reale con denaro elettronico. Il mantenimento del contante con il cliente può essere effettuato in due modi, che è determinato dal sistema utilizzato:
Sul disco rigido del computer;
sulle smart card.
Diversi sistemi offrono diversi schemi di scambio. Alcuni aprono conti speciali a cui i fondi vengono trasferiti dal conto dell'acquirente in cambio di banconote elettroniche. Alcune banche possono emettere essi stessi contanti elettronici. Allo stesso tempo, viene emesso solo su richiesta del cliente, con il suo successivo trasferimento sul computer o sulla carta di questo cliente e il prelievo dell'equivalente in contanti dal suo conto. Quando si implementa una firma cieca, l'acquirente stesso crea banconote elettroniche, le invia alla banca, dove, dopo aver ricevuto denaro reale sul conto, vengono certificate con un sigillo e rispedite al cliente.
Insieme alla comodità di tale archiviazione, presenta anche degli svantaggi. Il danneggiamento di un disco o di una smart card comporta una perdita irreparabile di moneta elettronica.
2. L'acquirente trasferisce la moneta elettronica per l'acquisto al server del venditore.
3. Il denaro viene presentato all'emittente, che ne verifica l'autenticità.
4. Se le banconote elettroniche sono autentiche, il conto del venditore viene aumentato dell'importo dell'acquisto e la merce viene spedita all'acquirente o viene fornito il servizio.
Una delle importanti caratteristiche distintive della moneta elettronica è la capacità di effettuare micropagamenti. Ciò è dovuto al fatto che la denominazione delle banconote potrebbe non corrispondere a monete reali (ad esempio 37 copechi).
Sia le banche che le organizzazioni non bancarie possono emettere contanti elettronici. Tuttavia, non è stato ancora sviluppato un sistema unificato per convertire diversi tipi di moneta elettronica. Pertanto, solo gli stessi emittenti possono riscattare il contante elettronico da loro emesso. Inoltre, l'utilizzo di tale denaro proveniente da strutture non finanziarie non è garantito dallo Stato. Tuttavia, il basso costo della transazione rende l'e-cash uno strumento interessante per i pagamenti su Internet.
Sistemi di credito
I sistemi di credito Internet sono analoghi ai sistemi convenzionali che funzionano con le carte di credito. La differenza sta nella conduzione di tutte le transazioni tramite Internet e, di conseguenza, nella necessità di ulteriore sicurezza e autenticazione.
Nell'effettuare pagamenti via Internet con carte di credito sono coinvolti:
1. Acquirente. Un client che dispone di un computer con un browser Web e accesso a Internet.
2. Banca emittente. Ecco il conto dell'acquirente. La banca emittente emette le carte ed è garante dell'adempimento degli obblighi finanziari del cliente.
3. Venditori. I venditori sono server di e-commerce che gestiscono cataloghi di beni e servizi e accettano gli ordini di acquisto dei clienti.
4. Acquisire banche. Banche al servizio dei commercianti. Ogni venditore ha un'unica banca in cui tiene il suo conto corrente.
5. Sistema di pagamento Internet. Componenti elettronici che fanno da intermediari tra gli altri partecipanti.
6. Sistema di pagamento tradizionale. Un insieme di mezzi finanziari e tecnologici per la manutenzione di carte di questo tipo. Tra i principali compiti risolti dal sistema di pagamento vi sono l'uso delle carte come mezzo di pagamento di beni e servizi, l'uso dei servizi bancari, i regolamenti reciproci, ecc. I partecipanti al sistema di pagamento sono persone fisiche e giuridiche accomunate da rapporti per l'utilizzo di carte di credito.
7. Centro di elaborazione del sistema di pagamento. Un'organizzazione che fornisce informazioni e interazione tecnologica tra i partecipanti in un sistema di pagamento tradizionale.
8. Banca di regolamento del sistema di pagamento. Un istituto di credito che effettua accordi reciproci tra i partecipanti al sistema di pagamento per conto del centro di elaborazione.
Lo schema generale dei pagamenti in un tale sistema è mostrato nella Figura 45.
1. L'acquirente nel negozio elettronico forma un paniere di merci e seleziona il metodo di pagamento "carta di credito".
Attraverso il negozio, cioè, i parametri della carta vengono inseriti direttamente sul sito del negozio, dopodiché vengono trasferiti al sistema di pagamento Internet (2a);
Sul server del sistema di pagamento (2b).
I vantaggi della seconda via sono evidenti.
In questo caso, le informazioni sulle carte non rimangono nel negozio e, di conseguenza, si riduce il rischio di riceverle da terzi o di frode da parte del venditore. In entrambi i casi, al momento del trasferimento dei dati della carta di credito, esiste ancora la possibilità che vengano intercettati da aggressori in rete. Per evitare ciò, i dati vengono crittografati durante la trasmissione.
La crittografia, ovviamente, riduce la possibilità di intercettare i dati sulla rete, pertanto le comunicazioni acquirente/venditore, venditore/sistema di pagamento Internet, acquirente/sistema di pagamento Internet vengono preferibilmente effettuate utilizzando protocolli sicuri. Il più comune di questi oggi è il protocollo SSL (Secure Sockets Layer), così come lo standard di transazione elettronica sicura SET (Secure Electronic Transaction), progettato per sostituire eventualmente SSL nell'elaborazione delle transazioni relative ai pagamenti per gli acquisti con carta di credito su Internet.
3. Il sistema di pagamento Internet invia la richiesta di autorizzazione al sistema di pagamento tradizionale.
4. Il passaggio successivo dipende dal fatto che la banca emittente mantenga un database online (DB) di conti. Se la banca dati è disponibile, il centro di elaborazione invia alla banca emittente una richiesta di autorizzazione della carta (vedi premessa o dizionario) (4a) e poi (4b) ne riceve l'esito. Se non esiste tale base, il centro di elaborazione stesso memorizza le informazioni sullo stato dei conti dei titolari di carta, gli elenchi di arresti e soddisfa le richieste di autorizzazione. Queste informazioni sono regolarmente aggiornate dalle banche emittenti.
Il negozio fornisce un servizio o spedisce un prodotto (8a);
Il centro di elaborazione invia le informazioni sulla transazione completata al regolante (8b). Il denaro dal conto dell'acquirente nella banca emittente viene trasferito tramite la banca di regolamento al conto del negozio nella banca acquirente.
Nella maggior parte dei casi, tali pagamenti richiedono un software speciale.
Può essere consegnato all'acquirente (chiamato portafoglio elettronico), al venditore e alla sua banca di assistenza.
Precedente25262728293031323334353637383940Successivo
Nella nostra vita, Internet non è solo un mezzo di comunicazione, divertimento e svago, ma anche di lavoro, oltre che per effettuare pagamenti elettronici. Molti di noi utilizzano servizi di Internet banking ed effettuano acquisti nei negozi online.
Nonostante la sicurezza dei sistemi bancari su Internet e dei negozi online - tali metodi di protezione sono utilizzati come doppia autenticazione, sistemi di password SMS dinamici una tantum, un elenco aggiuntivo di password monouso o chiavi hardware, una connessione protetta da SSL e così via - i moderni metodi di attacco consentono di aggirare anche i più potenti meccanismi di difesa.
Oggi, gli aggressori possono distinguere tre approcci più comuni per attaccare i dati finanziari degli utenti di Internet:
- infezione del computer della vittima con programmi Trojan (keylogger, screen logger, ecc.) che intercettano i dati in ingresso;
- utilizzo di metodi di social engineering - attacchi di phishing tramite e-mail, siti web, social network, ecc.;
— attacchi tecnologici (sniffing, spoofing server DNS/Proxy, spoofing certificati, ecc.).
L'utente non dovrebbe fare affidamento solo sulla banca, ma utilizzare programmi di sicurezza per migliorare la sicurezza dei pagamenti elettronici su Internet.
Le moderne soluzioni di Internet Security, oltre alle funzioni antivirus, offrono strumenti di pagamento sicuri (ambienti virtuali isolati per operazioni online), oltre a uno scanner di vulnerabilità, protezione web con controllo dei collegamenti, blocco di script e popup dannosi, protezione dei dati dalle intercettazioni ( anti-keylogger), una tastiera virtuale.
Tra le soluzioni complesse con una funzione di protezione dei pagamenti online separata, si possono individuare Kaspersky Internet Security e il componente Safe Money, avast!
Sicurezza Internet con avast! SafeZone e Bitdefender Internet Security con Bitdefender Safepay. Questi prodotti ti consentono di non preoccuparti di una protezione aggiuntiva.
Se hai un antivirus diverso, puoi esaminare i mezzi di protezione aggiuntiva. Tra questi: Bitdefender Safepay (browser web isolato), Trusteer Rapport e HitmanPro.Alert per proteggere il browser da attacchi, plug-in e applicazioni Netcraft Extension, McAfee SiteAdvisor, Adguard per proteggere dal phishing.
Non dimenticare il firewall e il client VPN se devi eseguire transazioni finanziarie quando ti connetti a reti Wi-Fi wireless aperte in luoghi pubblici. Ad esempio, CyberGhost VPN utilizza la crittografia del traffico AES a 256 bit, che impedisce che i dati vengano utilizzati da un utente malintenzionato, anche se intercettati.
Quali metodi di protezione dei pagamenti online utilizzi? Condividi la tua esperienza nei commenti.
Il sistema di sicurezza delle informazioni delle banche è molto diverso da strategie simili di altre aziende e organizzazioni. Ciò è dovuto principalmente alla natura specifica delle minacce, nonché alle attività pubbliche delle banche, che sono costrette a rendere l'accesso ai conti abbastanza facile per la comodità dei clienti.
Con lo sviluppo e l'espansione dell'ambito della tecnologia informatica, aumenta l'acutezza del problema di garantire la sicurezza dei sistemi informatici e di proteggere le informazioni archiviate ed elaborate in essi da varie minacce. Ci sono una serie di ragioni oggettive per questo.
Il principale è l'aumento del livello di fiducia nei sistemi automatizzati di elaborazione delle informazioni. A loro è affidato il lavoro più responsabile, dalla cui qualità dipendono la vita e il benessere di molte persone. I computer gestiscono i processi tecnologici nelle imprese e nelle centrali nucleari, i movimenti di aerei e treni, eseguono transazioni finanziarie ed elaborano informazioni segrete.
Sono note varie opzioni per proteggere le informazioni: da una guardia di sicurezza all'ingresso a metodi verificati matematicamente per nascondere i dati ai conoscenti. Inoltre, si può parlare di protezione globale e dei suoi aspetti individuali: la protezione di personal computer, reti, database, ecc.
Va notato che non esistono sistemi assolutamente sicuri. Possiamo parlare dell'affidabilità del sistema, in primo luogo, solo con una certa probabilità e, in secondo luogo, della protezione da una certa categoria di trasgressori. Tuttavia, possono essere previste intrusioni in un sistema informatico. La difesa è una specie di competizione tra difesa e attacco: vince chi ne sa di più e prevede misure efficaci.
L'organizzazione della protezione del sistema automatizzato di trattamento delle informazioni della banca è un insieme unico di misure che dovrebbero tenere conto di tutte le caratteristiche del processo di elaborazione delle informazioni. Nonostante i disagi causati all'utente durante il funzionamento, in molti casi possono essere assolutamente necessarie misure di protezione per il normale funzionamento dell'impianto. Il principale degli inconvenienti menzionati dovrebbe includere Gaikovich Yu.V., Pershin A.S. Sicurezza dei sistemi bancari elettronici.-M.: Europa Unita, 1994.- S..33:
È difficile immaginare una banca moderna senza un sistema informativo automatizzato. La connessione di computer tra loro e con computer più potenti, nonché con computer di altre banche - è anche una condizione necessaria per il buon funzionamento della banca - il numero di operazioni che devono essere eseguite in un breve lasso di tempo è troppo grande.
Allo stesso tempo, i sistemi informativi stanno diventando uno dei lati più vulnerabili di una banca moderna, attirando intrusi, sia dal personale della banca che dall'esterno. Le stime delle perdite per reati connessi all'ingerenza nelle attività del sistema informativo delle banche variano notevolmente. C'è una varietà di metodi per il loro calcolo. Il furto medio di una banca elettronica è di circa $ 9.000 e uno degli scandali più noti riguarda il tentativo di rubare $ 700 milioni (First National Bank, Chicago).
Inoltre, è necessario tenere conto non solo dell'ammontare del danno diretto, ma anche delle misure molto costose che vengono eseguite dopo i tentativi riusciti di hackerare i sistemi informatici. Quindi, uno degli esempi più eclatanti è la perdita di dati sul lavoro con i conti segreti della Banca d'Inghilterra nel gennaio 1999. Questa perdita ha costretto la banca a modificare i codici di tutti i conti corrispondenti. A questo proposito, tutte le forze di intelligence e di controspionaggio disponibili sono state allertate nel Regno Unito al fine di prevenire una possibile fuga di informazioni che potrebbe causare danni enormi. Il governo ha adottato misure estreme in modo che gli estranei non venissero a conoscenza dei conti e degli indirizzi a cui la Banca d'Inghilterra invia centinaia di miliardi di dollari ogni giorno. Inoltre, nel Regno Unito avevano più paura di una situazione in cui i dati potessero essere a disposizione dei servizi di intelligence stranieri. In questo caso sarebbe stata aperta l'intera rete di corrispondenti finanziari della Banca d'Inghilterra. La possibilità di danni è stata eliminata nel giro di poche settimane.
Adzhiev V. Miti sulla sicurezza del software: lezioni da famosi disastri//Sistemi aperti.-1999. -- №6.-- C..21-24
I servizi forniti dalle banche oggi sono in gran parte basati sull'uso di mezzi elettronici di interazione tra banche, banche e loro clienti e partner commerciali. Attualmente, l'accesso ai servizi bancari è diventato possibile da vari punti remoti, compresi i terminali di casa e i computer dell'ufficio. Questo fatto ci allontana dal concetto di “porte chiuse”, tipico delle banche negli anni '60, quando i computer erano usati nella maggior parte dei casi in modalità batch come strumento ausiliario e non avevano alcun collegamento con il mondo esterno.
Il livello delle apparecchiature con strumenti di automazione gioca un ruolo importante nelle attività della banca e, quindi, incide direttamente sulla sua posizione e sul reddito. La crescente concorrenza tra banche porta alla necessità di ridurre i tempi di regolamento, aumentare la portata e migliorare la qualità dei servizi forniti. Minore sarà il tempo necessario per gli accordi tra banca e clienti, maggiore sarà il fatturato della banca e, di conseguenza, l'utile. Inoltre, la banca sarà in grado di rispondere più rapidamente ai cambiamenti della situazione finanziaria. Una varietà di servizi bancari (in primo luogo, si tratta della possibilità di pagamenti non in contanti tra la banca ei suoi clienti utilizzando carte di plastica) possono aumentare significativamente il numero dei suoi clienti e, di conseguenza, aumentare i profitti.
La sicurezza delle informazioni della banca dovrebbe tenere conto dei seguenti fattori specifici:
Anche i reati nel settore bancario hanno le loro caratteristiche Gamza V.A. , Tkachuk I.B. Sicurezza di una banca commerciale.- M..: Europa Unita, 2000.- C..24:
Di norma, gli aggressori utilizzano solitamente i propri account, sui quali vengono trasferiti gli importi rubati. La maggior parte dei criminali non sa come riciclare denaro rubato. La capacità di commettere un crimine e la capacità di ottenere denaro non sono la stessa cosa.
La maggior parte dei crimini informatici sono piccoli. Il danno da loro è compreso tra $ 10.000 e $ 50.000.
I reati informatici di successo richiedono in genere un numero elevato di transazioni bancarie (fino a diverse centinaia). Tuttavia, grandi importi possono essere trasferiti in poche transazioni.
La maggior parte degli intrusi sono impiegati. Sebbene anche il personale di alto livello della banca possa commettere reati e causare molti più danni alla banca, tali casi sono rari.
I crimini informatici non sono sempre high-tech. È sufficiente falsificare i dati, modificare i parametri dell'ambiente ASOIB, ecc. e queste azioni sono disponibili anche per il personale addetto alla manutenzione.
Molti aggressori spiegano le loro azioni con il fatto che si limitano a prendere in prestito dalla banca con un successivo ritorno. Tuttavia, il "ritorno", di regola, non si verifica.
La specificità della protezione dei sistemi di elaborazione automatizzata delle informazioni delle banche è dovuta alle peculiarità dei compiti che risolvono:
Di norma, ASOIB elabora in tempo reale un ampio flusso di richieste in arrivo costante, ognuna delle quali non richiede numerose risorse per essere evasa, ma insieme possono essere evase solo da un sistema ad alte prestazioni;
ASOIB archivia ed elabora informazioni riservate che non sono destinate al pubblico in generale. La sua falsificazione o perdita può portare a gravi conseguenze (per la banca o per i suoi clienti). Pertanto, le ASOIB sono destinate a rimanere relativamente chiuse, operare sotto il controllo di software specifici e prestare grande attenzione a garantirne la sicurezza;
Un'altra caratteristica di ASOIB è l'aumento dei requisiti per l'affidabilità del software e dell'hardware. Per questo motivo, molti ASOIB moderni gravitano verso la cosiddetta architettura del computer fault-tolerant, che consente l'elaborazione continua delle informazioni anche a fronte di vari guasti e guasti.
L'uso dell'ASOI da parte delle banche è associato alle specificità della protezione di questi sistemi, pertanto le banche dovrebbero prestare maggiore attenzione alla protezione dei loro sistemi automatizzati.
Conclusioni sul primo capitolo:
L'attività bancaria è sempre stata associata all'elaborazione e all'archiviazione di una grande quantità di dati riservati. Si tratta innanzitutto di dati personali sui clienti, sui loro depositi e su tutte le transazioni effettuate.
Tutte le informazioni commerciali archiviate ed elaborate dagli istituti di credito sono esposte a un'ampia varietà di rischi associati a virus, guasti hardware, guasti del sistema operativo, ecc. Ma questi problemi non sono in grado di causare gravi danni. Il backup quotidiano dei dati, senza il quale il funzionamento del sistema informativo di qualsiasi impresa è impensabile, riduce al minimo il rischio di una perdita irrecuperabile di informazioni. Inoltre, metodi di protezione contro queste minacce ben sviluppati e ampiamente conosciuti. Pertanto, i rischi associati all'accesso non autorizzato alle informazioni riservate (UAI) vengono in primo piano.
L'accesso non autorizzato è una realtà
Ad oggi, i tre metodi più comuni per rubare informazioni riservate. In primo luogo, l'accesso fisico ai luoghi della sua conservazione ed elaborazione. Ci sono molte opzioni qui. Ad esempio, gli aggressori possono entrare in un ufficio bancario di notte e rubare i dischi rigidi con tutti i database. Anche un raid armato è possibile, il cui scopo non è il denaro, ma l'informazione. È possibile che uno stesso impiegato di banca possa portare il supporto di memorizzazione fuori dal territorio.
In secondo luogo, l'uso dei backup. Nella maggior parte delle banche, i sistemi di backup per dati importanti si basano su unità a nastro. Registrano le copie che creano su nastri magnetici, che vengono poi archiviati in un luogo separato. L'accesso ad essi è regolato in modo molto più delicato. Durante il trasporto e lo stoccaggio, un numero relativamente elevato di persone può farne delle copie. I rischi associati al backup dei dati sensibili non possono essere sottovalutati. Ad esempio, la maggior parte degli esperti è sicura che i database dei messaggi della Banca centrale della Federazione Russa apparsi in vendita nel 2005 siano stati rubati proprio grazie alle copie prelevate da nastri magnetici. Nella pratica mondiale, ci sono molti di questi incidenti. Lo scorso settembre, ad esempio, i dipendenti di Chase Card Services (una divisione di JPMorgan Chase & Co.), un fornitore di carte di credito, hanno erroneamente buttato via cinque nastri di backup contenenti informazioni su 2,6 milioni di titolari di conti di credito di Circuit City.
In terzo luogo, il modo più probabile per far trapelare informazioni riservate è l'accesso non autorizzato da parte dei dipendenti della banca. Quando si utilizzano solo strumenti standard del sistema operativo per separare i diritti, gli utenti hanno spesso l'opportunità di copiare indirettamente (con l'aiuto di determinati software) i database con cui lavorano e portarli fuori dall'azienda. A volte i dipendenti lo fanno senza alcun intento dannoso, solo per lavorare con le informazioni a casa. Tuttavia, tali azioni costituiscono una grave violazione della politica di sicurezza e possono diventare (e diventare!) il motivo della divulgazione di dati riservati.
Inoltre, in qualsiasi banca esiste un gruppo di persone con privilegi elevati nella rete locale. Parliamo di amministratori di sistema. Da un lato, ne hanno bisogno per svolgere le loro funzioni ufficiali. Ma, d'altra parte, hanno l'opportunità di accedere a qualsiasi informazione e "coprire le proprie tracce".
Pertanto, il sistema di protezione delle informazioni bancarie dall'accesso non autorizzato dovrebbe essere costituito da almeno tre sottosistemi, ciascuno dei quali fornisce protezione contro il proprio tipo di minacce. Questi sono il sottosistema per la protezione dall'accesso fisico ai dati, il sottosistema per garantire la sicurezza dei backup e il sottosistema per la protezione dagli insider. Ed è opportuno non trascurarne nessuno, poiché ogni minaccia può causare la divulgazione di dati riservati.
Banche la legge non è scritta?
Attualmente, le attività delle banche sono regolate dalla legge federale "Sulle banche e sull'attività bancaria". Esso, tra l'altro, introduce il concetto di "segreto bancario". Secondo esso, qualsiasi istituto di credito è obbligato a garantire la riservatezza di tutti i dati sui depositi dei clienti. È responsabile della loro divulgazione, compreso il risarcimento del danno causato dalla fuga di informazioni. Allo stesso tempo, non ci sono requisiti per la sicurezza dei sistemi informativi bancari. Ciò significa che le banche prendono autonomamente tutte le decisioni in merito alla protezione dei dati commerciali, sulla base dell'esperienza dei propri specialisti o di società terze (ad esempio quelle che effettuano audit di sicurezza delle informazioni). L'unica raccomandazione è lo standard della Banca centrale della Federazione Russa "Garantire la sicurezza delle informazioni delle organizzazioni del sistema bancario della Federazione Russa. Disposizioni generali". È apparso per la prima volta nel 2004 e nel 2006 è stata adottata una nuova versione. Durante la creazione e la finalizzazione di questo documento dipartimentale, sono stati utilizzati gli attuali standard russi e internazionali nel campo della sicurezza delle informazioni.
La Banca centrale della Federazione Russa può solo raccomandarlo ad altre banche, ma non può insistere sull'attuazione obbligatoria. Inoltre, ci sono pochi requisiti chiari nella norma che determinano la scelta di prodotti specifici. È certamente importante, ma al momento non ha un significato pratico serio. Ad esempio, riguardo ai prodotti certificati, si dice: "...possono essere utilizzati mezzi certificati o autorizzati per proteggere le informazioni da accessi non autorizzati". Non esiste un elenco corrispondente.
Lo standard elenca anche i requisiti per i mezzi crittografici di protezione delle informazioni nelle banche. E qui c'è già una definizione più o meno chiara: "CIPF ... deve essere implementato sulla base di algoritmi che rispettino gli standard nazionali della Federazione Russa, i termini del contratto con la controparte e (o) gli standard dell'organizzazione". È possibile confermare la conformità del modulo crittografico con GOST 28147-89 mediante certificazione. Pertanto, quando si utilizzano sistemi di crittografia in una banca, è consigliabile utilizzare fornitori di crittografia software o hardware certificati dal Servizio di sicurezza federale della Federazione Russa, ovvero moduli esterni che si collegano al software e implementano il processo di crittografia stesso.
Nel luglio dello scorso anno è stata adottata la legge federale della Federazione Russa "Sui dati personali", entrata in vigore il 1 gennaio 2007. Alcuni esperti hanno associato ad esso l'emergere di requisiti più specifici per i sistemi di sicurezza bancaria, poiché le banche sono organizzazioni che elaborano dati personali. Tuttavia, la legge stessa, che è certamente molto importante in generale, attualmente non è applicabile nella pratica. Il problema risiede nella mancanza di standard per la protezione dei dati privati e di organismi che possano controllarne l'attuazione. Cioè, risulta che attualmente le banche sono libere di scegliere i sistemi di protezione delle informazioni commerciali.
Protezione dell'accesso fisico
Le banche hanno tradizionalmente posto grande enfasi sulla sicurezza fisica degli uffici operativi, dei depositari e simili. Tutto ciò riduce il rischio di accesso non autorizzato alle informazioni commerciali attraverso l'accesso fisico. Tuttavia, gli uffici delle banche e i locali tecnici in cui sono ubicati i server di solito non differiscono per il grado di protezione dagli uffici di altre società. Pertanto, per ridurre al minimo i rischi descritti, è necessario utilizzare un sistema di protezione crittografica.
Oggi, ci sono un gran numero di utility che crittografano i dati sul mercato. Tuttavia, le peculiarità del loro trattamento nelle banche impongono requisiti aggiuntivi al software corrispondente. In primo luogo, il principio della crittografia trasparente deve essere implementato nel sistema di protezione crittografica. Quando lo si utilizza, i dati nella memoria principale sono sempre solo in forma codificata. Inoltre, questa tecnologia consente di ridurre al minimo il costo del lavoro regolare con i dati. Non hanno bisogno di essere decifrati e crittografati ogni giorno. L'accesso alle informazioni viene effettuato utilizzando un software speciale installato sul server. Decrittografa automaticamente le informazioni quando vi si accede e le crittografa prima che vengano scritte sul disco rigido. Queste operazioni vengono eseguite direttamente nella RAM del server.
In secondo luogo, i database bancari sono molto grandi. Pertanto, il sistema di protezione delle informazioni crittografiche non dovrebbe funzionare con partizioni di dischi rigidi virtuali, ma reali, array RAID e altri supporti di archiviazione del server, ad esempio archivi SAN. Il fatto è che i file contenitore che possono essere collegati al sistema come dischi virtuali non sono progettati per funzionare con grandi quantità di dati. Nel caso in cui un disco virtuale creato da un tale file sia di grandi dimensioni, quando anche più persone vi accedono contemporaneamente, è possibile osservare una significativa diminuzione della velocità di lettura e scrittura delle informazioni. Il lavoro di diverse dozzine di persone con un grande file contenitore può trasformarsi in un vero tormento. Inoltre, tieni presente che questi oggetti sono a rischio di essere danneggiati da virus, arresti anomali del file system e così via. In fondo, infatti, sono file ordinari, ma di dimensioni piuttosto grandi. E anche un leggero cambiamento può portare all'impossibilità di decodificare tutte le informazioni in esso contenute. Entrambi questi requisiti obbligatori restringono notevolmente la gamma di prodotti idonei per l'attuazione della protezione. In effetti, oggi sul mercato russo ci sono solo pochi sistemi di questo tipo.
Non è necessario considerare in dettaglio le caratteristiche tecniche dei sistemi server per la protezione delle informazioni crittografiche, poiché abbiamo già confrontato questi prodotti in uno dei numeri precedenti. ( Stolyarov N., Davletkhanov M. Protezione UTM.) Ma vale la pena notare alcune caratteristiche di tali sistemi, la cui presenza è auspicabile per le banche. La prima è relativa alla già citata certificazione del modulo crittografico utilizzato. Il software o l'hardware corrispondente è già disponibile nella maggior parte delle banche. Pertanto, il sistema di protezione delle informazioni del server dovrebbe prevedere la possibilità del loro collegamento e utilizzo. Il secondo requisito speciale per il sistema di sicurezza delle informazioni è la capacità di integrarsi nel sistema di sicurezza fisica dell'ufficio e/o della sala server. Ciò consente di proteggere le informazioni da accessi non autorizzati associati a furti, hacking, ecc.
Particolare attenzione nelle banche dovrebbe essere prestata alla sicurezza delle informazioni, poiché in realtà sono i soldi dei clienti. Pertanto, il sistema di protezione dovrebbe essere dotato di caratteristiche speciali che minimizzino il rischio di perdita. Uno dei più notevoli è la funzione di determinare i settori danneggiati sul disco rigido. Inoltre, la possibilità di sospendere e annullare i processi di crittografia iniziale del disco, la sua decrittografia e ricrittografia è di grande importanza. Si tratta di procedure piuttosto lunghe, qualsiasi errore durante il quale minaccia la completa perdita di tutti i dati.
Il fattore umano ha un impatto molto ampio sui rischi associati all'accesso non autorizzato alle informazioni riservate. Pertanto, è auspicabile che il sistema di protezione preveda la possibilità di ridurre tale rapporto. Ciò si ottiene utilizzando mezzi affidabili per la memorizzazione delle chiavi di crittografia: smart card o chiavi USB. L'inclusione di questi token nel prodotto è ottimale, permette non solo di ottimizzare i costi, ma garantisce anche la piena compatibilità di software e hardware.
Un'altra importante funzione che consente di ridurre al minimo l'influenza del fattore umano sull'affidabilità del sistema di protezione è il quorum delle chiavi. La sua essenza sta nella divisione della chiave di crittografia in più parti, ognuna delle quali è riservata all'utilizzo di un dipendente responsabile. Per collegare un disco chiuso, è necessario un numero specificato di parti. Inoltre, potrebbe essere inferiore al numero totale di parti della chiave. Questo approccio consente di proteggere i dati dall'uso improprio da parte di dipendenti responsabili e fornisce anche la flessibilità necessaria per il lavoro della banca.
Protezione di backup
Il backup regolare di tutte le informazioni archiviate nella banca è una misura assolutamente necessaria. Consente di ridurre notevolmente le perdite in caso di problemi come corruzione dei dati da parte di virus, guasti hardware, ecc. Ma allo stesso tempo, aumenta i rischi associati all'accesso non autorizzato. La pratica mostra che il supporto su cui sono scritti i backup non deve essere archiviato nella sala server, ma in un'altra sala o addirittura in un edificio. In caso contrario, in caso di incendio o altro incidente grave, sia i dati stessi che i relativi archivi potrebbero andare irrimediabilmente persi. L'unico modo per proteggere in modo sicuro i backup dall'uso non autorizzato è attraverso la crittografia. In questo caso, tenendo con sé la chiave di crittografia, il responsabile della sicurezza può trasferire in sicurezza supporti con archivi al personale tecnico.
La principale difficoltà nell'organizzazione della protezione crittografica dei backup è la necessità di separare le responsabilità per la gestione dell'archiviazione dei dati. L'amministratore di sistema o altro impiegato tecnico deve configurare e implementare il processo di backup stesso. La crittografia delle informazioni dovrebbe essere gestita da un dipendente responsabile, un responsabile della sicurezza. Allo stesso tempo, è necessario comprendere che nella stragrande maggioranza dei casi la prenotazione viene effettuata in automatico. Questo problema può essere risolto solo "incorporando" un sistema di protezione crittografica tra il sistema di gestione del backup e i dispositivi che registrano i dati (streamer, unità DVD, ecc.).
Pertanto, per essere utilizzati nelle banche, i prodotti crittografici devono anche essere in grado di funzionare con vari dispositivi utilizzati per scrivere backup su supporti di archiviazione: streamer, unità CD e DVD, dischi rigidi rimovibili, ecc.
Oggi esistono tre tipi di prodotti progettati per ridurre al minimo i rischi associati all'accesso non autorizzato ai backup. Il primo include dispositivi speciali. Tali soluzioni hardware presentano molti vantaggi, inclusa la crittografia affidabile delle informazioni e l'alta velocità. Tuttavia, presentano tre inconvenienti significativi che ne impediscono l'uso nelle banche. Primo: costo molto alto (decine di migliaia di dollari). Secondo: possibili problemi con l'importazione in Russia (non dobbiamo dimenticare che stiamo parlando di strumenti crittografici). Il terzo svantaggio è l'impossibilità di connettere loro provider di crittografia certificati esterni. Queste schede funzionano solo con algoritmi di crittografia implementati in esse a livello hardware.
Il secondo gruppo di sistemi di protezione per la protezione crittografica dei backup è costituito da moduli offerti ai propri clienti da sviluppatori software e hardware per il backup. Esistono per tutti i prodotti più noti in questo campo: ArcServe, Veritas Backup Exec, ecc. È vero, hanno anche le loro caratteristiche. La cosa più importante è lavorare solo con il "tuo" software o drive. Nel frattempo, il sistema informativo della banca è in continua evoluzione. Ed è possibile che la sostituzione o l'espansione del sistema di backup richieda costi aggiuntivi per la modifica del sistema di protezione. Inoltre, la maggior parte dei prodotti di questo gruppo implementa vecchi algoritmi di crittografia lenta (ad esempio, 3DES), non esistono strumenti di gestione delle chiavi e non è possibile connettere provider di crittografia esterni.
Tutto questo ci costringe a prestare molta attenzione ai sistemi di protezione crittografica per i backup del terzo gruppo. Include prodotti software, firmware e hardware appositamente progettati che non sono legati a specifici sistemi di archiviazione dei dati. Supportano un'ampia gamma di dispositivi di registrazione delle informazioni, che consente loro di essere utilizzati in tutta la banca, comprese tutte le sue filiali. Ciò garantisce l'uniformità dei mezzi di protezione utilizzati e la minimizzazione dei costi operativi.
È vero, vale la pena notare che, nonostante tutti i loro vantaggi, sul mercato ci sono pochissimi prodotti del terzo gruppo. Ciò è probabilmente dovuto alla mancanza di una grande richiesta di sistemi di protezione del backup crittografico. Non appena il management delle banche e di altre grandi organizzazioni si renderà conto della realtà dei rischi associati all'archiviazione delle informazioni commerciali, il numero di attori in questo mercato aumenterà.
Protezione dall'interno
Ricerche recenti nel campo della sicurezza delle informazioni, come l'annuale CSI / FBI Computer Crime And Security Survey, hanno dimostrato che le perdite finanziarie delle aziende dovute alla maggior parte delle minacce stanno diminuendo di anno in anno. Tuttavia, ci sono diversi rischi, le cui perdite sono in aumento. Uno di questi è il furto deliberato di informazioni riservate o la violazione delle regole di trattamento da parte di quei dipendenti il cui accesso ai dati commerciali è necessario per lo svolgimento delle proprie funzioni. Si chiamano addetti ai lavori.
Nella stragrande maggioranza dei casi, il furto di informazioni riservate viene effettuato utilizzando supporti mobili: CD e DVD, dispositivi ZIP e, soprattutto, tutti i tipi di unità USB. È stata la loro distribuzione di massa a portare al fiorire dell'insider trading in tutto il mondo. I dirigenti della maggior parte delle banche sono ben consapevoli di ciò che minaccia, ad esempio, se un database con i dati personali dei loro clienti o, inoltre, le transazioni sui loro conti, cade nelle mani di strutture criminali. E stanno cercando di contrastare il possibile furto di informazioni con le modalità organizzative a loro disposizione.
Tuttavia, i metodi organizzativi in questo caso sono inefficaci. Oggi è possibile organizzare il trasferimento di informazioni tra computer utilizzando una chiavetta USB in miniatura, un telefono cellulare, un lettore mp3, una fotocamera digitale... Certo, puoi provare a vietare l'ingresso in ufficio di tutti questi dispositivi, ma questo, in primo luogo, influenzerà negativamente i rapporti con i dipendenti e, in secondo luogo, è ancora molto difficile stabilire un controllo davvero efficace sulle persone: la banca non è una "cassetta postale". E anche disabilitare tutti i dispositivi sui computer che possono essere utilizzati per scrivere informazioni su supporti esterni (unità FDD e ZIP, unità CD e DVD, ecc.) e porte USB non sarà di aiuto. Dopotutto, i primi sono necessari per il lavoro e ai secondi sono collegate varie periferiche: stampanti, scanner, ecc. E nessuno può impedire a una persona di spegnere la stampante per un minuto, inserire un'unità flash nella porta libera e copiarvi informazioni importanti. Ovviamente puoi trovare modi originali di protezione. Ad esempio, in una banca hanno provato questo metodo per risolvere il problema: hanno riempito la giunzione della porta USB e del cavo con resina epossidica, "legando" quest'ultimo saldamente al computer. Ma, fortunatamente, oggi esistono metodi di controllo più moderni, affidabili e flessibili.
Il mezzo più efficace per ridurre al minimo i rischi associati agli insider è un software speciale che gestisce dinamicamente tutti i dispositivi e le porte dei computer che possono essere utilizzate per copiare le informazioni. Il principio del loro lavoro è il seguente. Le autorizzazioni per l'utilizzo di porte e dispositivi diversi vengono impostate per ciascun gruppo di utenti o per ciascun utente individualmente. Il più grande vantaggio di tale software è la flessibilità. È possibile inserire restrizioni per tipi specifici di dispositivi, i relativi modelli e singole istanze. Ciò consente di implementare politiche molto complesse per la distribuzione dei diritti di accesso.
Ad esempio, alcuni dipendenti possono essere autorizzati a utilizzare qualsiasi stampante e scanner collegati alle porte USB. Tutti gli altri dispositivi inseriti in questa porta rimarranno inaccessibili. Se la banca utilizza un sistema di autenticazione utente basato su token, nelle impostazioni è possibile specificare il modello di chiave utilizzato. Quindi gli utenti potranno utilizzare solo i dispositivi acquistati dall'azienda e tutti gli altri saranno inutili.
Sulla base del principio di funzionamento dei sistemi di protezione sopra descritto, puoi capire quali punti sono importanti nella scelta dei programmi che implementano il blocco dinamico dei dispositivi di registrazione e delle porte del computer. In primo luogo, è la versatilità. Il sistema di protezione dovrebbe coprire l'intera gamma di possibili porte e dispositivi di input-output delle informazioni. In caso contrario, il rischio di furto di informazioni commerciali rimane inaccettabilmente elevato. In secondo luogo, il software in questione dovrebbe essere flessibile e consentire di creare regole utilizzando una grande quantità di informazioni diverse sui dispositivi: tipi, produttori di modelli, numeri univoci di ciascuna istanza, ecc. E, in terzo luogo, il sistema di protezione dagli insider dovrebbe essere in grado di integrarsi con il sistema informativo della banca, in particolare con Active Directory. In caso contrario, l'amministratore o il responsabile della sicurezza dovrà mantenere due database di utenti e computer, il che non solo è scomodo, ma aumenta anche il rischio di errori.
Riassumendo
Quindi, oggi ci sono prodotti sul mercato con l'aiuto dei quali qualsiasi banca può organizzare un sistema affidabile per proteggere le informazioni da accessi non autorizzati e abusi. È vero, quando li scegli, devi stare molto attento. Idealmente, questo dovrebbe essere fatto da esperti interni del livello appropriato. È consentito l'utilizzo di servizi di terze parti. Tuttavia, in questo caso, è possibile una situazione in cui la banca verrà abilmente imposta non con un software adeguato, ma con uno vantaggioso per l'azienda fornitrice. Inoltre, il mercato interno della consulenza sulla sicurezza delle informazioni è agli inizi.
Nel frattempo, fare la scelta giusta non è affatto difficile. Basta armarsi dei criteri che abbiamo elencato e studiare attentamente il mercato dei sistemi di sicurezza. Ma c'è una "trappola" che va ricordata. Idealmente, il sistema di sicurezza delle informazioni della banca dovrebbe essere unificato. Cioè, tutti i sottosistemi devono essere integrati nel sistema informativo esistente e, preferibilmente, avere una gestione comune. In caso contrario, sono inevitabili maggiori costi di manodopera per l'amministrazione della protezione e maggiori rischi dovuti a errori di gestione. Pertanto, per creare tutti e tre i sottosistemi di protezione descritti oggi, è meglio scegliere prodotti rilasciati da uno sviluppatore. Oggi in Russia ci sono aziende che creano tutto il necessario per proteggere le informazioni bancarie da accessi non autorizzati.
L'attività bancaria è associata all'elaborazione di grandi quantità di informazioni, la maggior parte delle quali è costituita da dati riservati dei clienti.
Questi includono dati personali degli utenti, copie dei loro documenti, numeri di conto, dati su transazioni, transazioni, ecc.
Nel processo di lavoro con queste informazioni, è importante che non cadano nelle mani di intrusi, non vengano modificate o perse.
Data l'importanza degli archivi conservati nell'ambiente informativo della banca, il loro valore ei requisiti per la protezione delle informazioni bancarie sono notevolmente aumentati.
La complessità del mantenimento della sicurezza dei dati risiede nel fatto che le banche devono garantire la disponibilità di questi dati ai propri utenti e bloccare qualsiasi tentativo di ottenere informazioni da parte di estranei e intrusi.
La corretta attuazione di questo compito richiederà una serie di misure progettate per mantenere la riservatezza dei dati, la sicurezza e la protezione delle informazioni elaborate, nonché un accesso senza problemi ai dati durante le transazioni finanziarie.
Per capire quale ruolo gioca la sicurezza delle informazioni nel settore bancario, dovresti capire quali dati bancari devono essere protetti e perché.
L'importanza della sicurezza delle informazioni bancarie
I dati bancari comprendono un insieme di informazioni che consentono di rappresentare un istituto finanziario nell'ambiente informatico, nonché dati che consentono di effettuare transazioni finanziarie tra un cliente e una banca, nonché tra più clienti che utilizzano un istituto bancario come intermediario finanziario.
Esistono due tipi di informazioni bancarie: si tratta dei dati utilizzati nell'ambiente informativo per rappresentare le attività di un istituto finanziario per i propri clienti, nonché la totalità dei dati dei clienti dell'istituto finanziario, sia legali che naturali .
Nonostante il fatto che un'informazione sia aperta e la seconda sia chiusa, entrambe richiedono una protezione affidabile.
Come puoi vedere, la protezione delle informazioni nei sistemi bancari è un aspetto molto importante dell'attività di un istituto finanziario, che dovrebbe sempre essere la chiave nell'ampio elenco di compiti che le banche devono affrontare.
Tra i metodi di accesso non autorizzato ai dati bancari, i seguenti sono oggi i più comuni.
Considerando le minacce di perdita di dati importanti sopra elencate, dovrebbero essere selezionati metodi e mezzi per proteggere le informazioni bancarie.
La maggior parte delle banche presta molta attenzione al livello di sicurezza fisica delle proprie informazioni.
Questo processo inizia con il fatto che i luoghi in cui sono archiviati gli archivi di informazioni e sono installati i server bancari hanno un livello di protezione più elevato contro la penetrazione e la possibilità che soggetti terzi vi rimangano.
Inoltre, è in corso un'attiva attività di reclutamento del personale che avrà accesso ai dati riservati della banca e dei suoi clienti. L'implementazione di questi fattori riduce significativamente la probabilità di furto di archivi, ma non la elimina completamente.
Il backup delle informazioni e la loro scrittura negli archivi è un passaggio importante per conservare i dati di cui hai bisogno per te stesso.
Ma per escludere la possibilità che cadano nelle mani di intrusi, questo processo deve avvenire utilizzando sistemi di crittografia.
L'uso della moderna protezione crittografica ridurrà a zero la probabilità che anche le informazioni rubate vengano utilizzate da qualcuno.
Oggi ci sono molti diversi prodotti software che forniscono la crittografia dei dati al momento del loro trasferimento nell'archivio.
L'intero processo è completamente automatizzato e non comporta per la banca costi significativi in termini finanziari e in termini di necessità di personale aggiuntivo.
È anche importante che nel processo di creazione di un archivio crittografato vengano utilizzati archivi basati su unità fisiche e non virtuali.
Ciò garantisce un altro livello di sicurezza delle informazioni, perché l'archiviazione virtuale è più facile da hackerare rispetto a quella reale.
Prevenire la fuga di informazioni privilegiate a volte può essere la cosa più difficile da fare. Proteggerlo con l'aiuto di vari strumenti software è solo metà della soluzione al compito. In questo caso, il fattore umano gioca un ruolo fondamentale.
È attraverso i dipendenti che molto spesso si verifica la perdita di dati importanti, che influiscono successivamente sulle attività future e attuali della banca.
Pertanto, la selezione del personale, l'efficace lavoro del servizio di sicurezza interna, nonché l'utilizzo di un sistema di limitazione dell'accesso ridurranno al minimo i rischi di perdita di informazioni privilegiate.
I modi principali per proteggere le informazioni bancarie sono stati discussi sopra.
Per garantire la sua protezione al 100%, è importante utilizzare tutti i metodi esistenti in combinazione.
Dato che la criminalità informatica si è sviluppata molto negli ultimi tempi e sta diventando sempre più difficile proteggere le informazioni, è importante che i professionisti nel loro campo si occupino di questo processo.
Ti aiuteranno a scegliere l'hardware e il software giusti, oltre a creare la giusta strategia di protezione dei dati per il tuo particolare ambiente di informazioni bancarie.
