Orice informație documentată, a cărei utilizare greșită poate cauza prejudicii Băncii și/sau clientului care și-a încredințat informațiile Băncii, este supusă protecției.
Astfel de informații includ:
1. Toate operațiunile pe conturile personale ale administratorilor de credite.
2. Termenele de încasare a salariilor de către instituții și organizații (în cadrul acordurilor „de salarizare”).
3. Planuri de lucru de control și revizuire.
4. Acte de audit extern și intern.
5. Informații despre sumele primite de la un anumit plătitor.
6. Corespondenta cu organele de drept.
7. Informații cu caracter oficial, discutate în cadrul ședințelor desfășurate de manageri.
8. Informații care constituie un secret comercial al întreprinderilor, firmelor, băncilor și altor entități economice.
9. Date despre software-ul utilizat pentru procesarea „zilei de tranzacționare”.
10. Schema deplasării documentelor din „ziua operațională”.
11. Structura sistemelor automatizate, procedura de administrare a UA și resursele informaționale care trebuie protejate, liste de parole și denumiri ale echipamentelor active.
12. Descrierea fluxurilor de informații, topologia managementului telecomunicațiilor, layout-urile elementelor AS.
13. Sistem de securitate a informațiilor.
14. Informații despre măsurile organizatorice și tehnice de protecție a informațiilor.
15. Personalul și numărul angajaților băncii.
16. Date personale despre angajati.
17. Informații din dosarul personal al salariatului, carnet de muncă, carnet F. Nr. T-2.
18. Informații despre veniturile unui cetățean și bunurile care îi aparțin cu drept de proprietate, date privind salariile și alte plăți către angajați.
19. Materiale de investigaţii privind cererile cetăţenilor şi încălcări ale disciplinei muncii.
20. Alte informații referitoare la activitățile băncii, ale căror restricții de difuzare sunt dictate de necesitatea afacerii.
Resursele AS includ date, informații, software, hardware, facilități și telecomunicații.
Modul de protecție a informațiilor este setat
1.4.2. Posibile amenințări la adresa resurselor de informații protejate
Amenințările identificate includ:
1. Acces neautorizat.
2. Defecțiuni intenționate și neintenționate în funcționarea echipamentelor informatice, echipamentelor electrice etc., care conduc la pierderea sau denaturarea informațiilor.
3. Interceptarea, denaturarea sau modificarea informațiilor transmise prin canalele de comunicare.
4. Accesul ilegal la informații.
1.4.3. Protecția resurselor informaționale
Prevenirea posibilelor amenințări la adresa resurselor de informații protejate se realizează prin:
1. Din acces neautorizat- crearea unui sistem de protecție a informațiilor împotriva accesului neautorizat, care este un complex de soluții software și hardware și organizaționale.
Deciziile organizaționale includ:
· Asigurarea protecției unității în care se află CNE protejată pentru a preveni furtul SVT, purtători de informații, precum și UA către SVT și linii de comunicație;
selectarea clasei de securitate AS în funcție de caracteristicile prelucrării informațiilor și de nivelul de confidențialitate a acesteia;
organizarea contabilității, stocarea și emiterea mediilor de informare, parole, chei, întreținerea documentației oficiale, acceptarea noilor software incluse în AS, precum și monitorizarea progresului procesului tehnologic de prelucrare a informațiilor confidențiale;
· elaborarea documentaţiei organizatorice şi administrative adecvate.
Conectarea la rețelele globale de calculatoare se realizează numai după stabilirea necesității reale a unei astfel de conexiuni, implementarea unei game complete de măsuri de protecție.
2. Din eșecuri intenționate și neintenționateîn funcționarea echipamentelor informatice, a echipamentelor electrice etc., ducând la pierderea sau denaturarea informațiilor.
Software-ul (software-ul) necesar functionarii sistemelor informatice si de telecomunicatii se intocmeste sub forma unei liste si trebuie aprobat de catre conducator pentru utilizare.
Instalarea la locurile de muncă a oricăror programe este efectuată numai de specialiști IT. Autoinstalarea software-ului este strict interzisă.
Pentru a asigura protecția informațiilor confidențiale împotriva distorsiunii sau distrugerii în cazul defecțiunilor în funcționarea computerului și a echipamentului, se face o copie de rezervă a informațiilor protejate și se utilizează și surse de alimentare neîntreruptibile. Frecvența și ordinea copiei de rezervă este stabilită de administratorul LAN, pe baza necesității de a păstra informațiile, software-ul bazei de date.
3. Interceptarea, denaturarea sau modificarea informațiilor transmise prin canalele de comunicare.
Este interzis transferul informațiilor confidențiale marcate „Pentru uz oficial” prin canale de comunicare deschise folosind e-mail, fax și orice alte tipuri de comunicare fără utilizarea criptării.
E-mailul este folosit pentru a desfășura fluxul de lucru al băncii cu alte organizații. După ziua de lucru, locurile în care se află echipamentul de comutare sunt sigilate, ușile sunt încuiate, accesul la acestea de către persoane neautorizate fără însoțirea unei persoane responsabile este interzis. (Străinii sunt și angajați ai băncii care, conform atribuțiilor lor funcționale, nu au legătură cu funcționarea acestui echipament).
Persoanele responsabile efectuează în mod regulat controlul vizual al tuturor telecomunicațiilor pentru a identifica sau a preveni în timp util încercările de conectare a dispozitivelor speciale pentru citirea informațiilor.
4. Acces ilegal la informații.
Pentru a preveni accesul ilegal la informații, accesul la spațiile în care sunt prelucrate informațiile care fac obiectul protecției ar trebui restricționat.
Atunci când își organizează locul de muncă, angajatul aranjează ecranul de afișare în așa fel încât să îngreuneze accesul persoanelor neautorizate a informațiilor afișate pe ecran.
Când părăsește locul de muncă din orice motiv, angajatul trebuie să se deconecteze din rețea sau să blocheze ecranul monitorului.
Care ar trebui să fie protecția antivirus?
În general, protecția antivirus a unui sistem informațional bancar ar trebui să fie construită după un principiu ierarhic:
Serviciile de toate nivelurile sunt combinate într-o singură rețea de calculatoare (formă o singură infrastructură) printr-o rețea locală.
Serviciile la nivel de companie trebuie să funcționeze continuu.
Conducerea tuturor nivelurilor ar trebui să fie efectuată de personal special, pentru care ar trebui prevăzute instrumente de administrare centralizată.
Sistemul antivirus ar trebui să ofere următoarele tipuri de servicii la nivel corporativ:
la nivel de departament:
Cerințe funcționale
Cerințe generale
Cerințe pentru fiabilitatea și funcționarea sistemului
1. La primul nivel, acestea protejează conexiunea la Internet sau rețeaua furnizorului de servicii de comunicații - acesta este un firewall și gateway-uri de e-mail, deoarece conform statisticilor, aproximativ 80% dintre viruși intră de acolo. De remarcat că nu mai mult de 30% dintre viruși vor fi detectați în acest fel, deoarece restul de 70% vor fi detectați doar în timpul execuției.
Utilizarea antivirușilor pentru firewall-uri astăzi se reduce la filtrarea accesului la Internet în timp ce se verifică simultan traficul de trecere pentru viruși.
Scanarea antivirus efectuată de astfel de produse este foarte lentă și are un nivel de detecție extrem de scăzut, prin urmare, în lipsa necesității de filtrare a site-urilor web vizitate de utilizatori, utilizarea unor astfel de produse nu este recomandabilă.
2. De regulă, protejați serverele de fișiere, serverele de baze de date și serverele sistemelor de lucru colaborativ, deoarece acestea conțin cele mai importante informații. Antivirusul nu este un substitut pentru instrumentele de backup a informațiilor, dar fără el, puteți întâlni o situație în care copiile de rezervă sunt infectate, iar virusul devine activ la șase luni după infectare.
3. Și, în sfârșit, protejează stațiile de lucru, deși nu conțin informații importante, protecția poate reduce foarte mult timpul de recuperare în caz de dezastru.
De fapt, toate componentele sistemului informatic bancar legate de transportul informațiilor și/sau stocarea acestora sunt supuse protecției antivirus:
Ø Servere de fisiere;
Ø Posturi de lucru;
Ø Staţiile de lucru ale utilizatorilor de telefonie mobilă;
Ø Server de backup;
Ø server de e-mail;
Ø Protecția locurilor de muncă (inclusiv utilizatorilor de telefonie mobilă) ar trebui să fie realizată prin instrumente antivirus și firewall-uri ale stațiilor de lucru.
Instrumentele de ecranare a rețelei sunt concepute în primul rând pentru a proteja utilizatorii mobili atunci când lucrează prin Internet, precum și pentru a proteja stațiile de lucru LAN ale companiei de încălcarea politicii interne de securitate.
Principalele caracteristici ale firewall-urilor pentru stațiile de lucru:
Controlați conexiunile în ambele direcții
Permite aplicațiilor cunoscute să acceseze Internetul fără intervenția utilizatorului (configurare automată)
Expertul de configurare pentru fiecare aplicație (numai aplicațiile instalate pot afișa activitatea în rețea)
Faceți computerul invizibil pe Internet (ascunde porturile)
Preveniți atacurile hackerilor cunoscute și caii troieni
Notificați utilizatorul cu privire la încercările de hacking
Scrieți informații de conectare într-un fișier jurnal
Împiedicați trimiterea datelor definite ca fiind sensibile fără notificare prealabilă
Impiedica serverele sa primeasca informatii fara cunostinta utilizatorului (cookie-uri)
Protecția antivirus a sistemelor informaționale este cea mai importantă și permanentă funcție a sistemului general de securitate economică al băncii. În acest caz, relaxările temporare și abaterile de la standarde sunt inacceptabile. Indiferent de soluțiile de protecție antivirus care există deja în bancă, este întotdeauna utilă efectuarea unui audit suplimentar și evaluarea sistemului prin ochii unui expert independent și competent.
Banca de date face parte din orice sistem automatizat, cum ar fi CAD, APCS, APCS etc. Sarcina băncii de date este de a menține modelul de informații într-o stare extrem de importantă și de a furniza solicitările utilizatorilor. Acest lucru necesită să fie efectuate trei operațiuni pe banca de date: activare, ștergere, modificare. Aceste operațiuni asigură stocarea și modificarea datelor.
Odată cu dezvoltarea unui sistem automatizat, compoziția obiectelor din domeniul subiectului se modifică, conexiunile dintre ele se schimbă. Toate acestea ar trebui să se reflecte în sistemul informațional. Astfel, organizarea băncii de date trebuie să fie flexibilă. Să arătăm locul băncii de date în sistemul automatizat.
Când proiectați o bancă de date, este extrem de important să luați în considerare două aspecte ale furnizării cererilor utilizatorilor.
1) Definirea limitelor unui domeniu specific și dezvoltarea unui model informațional. Rețineți că banca de date ar trebui să ofere informații întregului sistem atât în prezent, cât și în viitor, ținând cont de dezvoltarea acestuia.
2) Dezvoltarea unei bănci de date ar trebui să se concentreze pe deservirea eficientă a cererilor utilizatorilor. În acest sens, este extrem de important să analizăm tipurile și tipurile de solicitări ale utilizatorilor. De asemenea, este extrem de importantă analiza sarcinilor funcționale ale unui sistem automatizat pentru care această bancă va fi o sursă de informații.
Utilizatorii băncii de date diferă în următoarele moduri:
· pe baza constanţei comunicării cu banca.
Utilizatori : permanent Și o dată ;
Nivel de permisiune. O parte din date trebuie protejată;
sub forma cererilor. Cererile pot fi date de programatori, non-programatori, utilizatori de sarcini.
Datorită eterogenității mari a utilizatorilor, banca de date oferă un instrument special care vă permite să aduceți toate interogările într-o singură terminologie. Acest instrument se numește Dicționar de date.
Să ne evidențiem cerințe primare la care trebuie răspuns banca de date de la utilizatori externi . Banca de date ar trebui:
1. Oferiți capacitatea de a stoca și modifica volume mari de informații multidimensionale. Satisfaceți cerințele actuale și emergente ale utilizatorilor.
Oferiți niveluri specificate de fiabilitate și coerență informațiilor stocate.
3. Oferiți acces la date numai acelor utilizatori care au autoritatea corespunzătoare.
4. Oferiți capacitatea de a căuta informații despre un grup arbitrar de caracteristici.
5. Satisfaceți cerințele de performanță specificate atunci când procesați cererile.
6. Să aibă capacitatea de a se reorganiza și extinde atunci când se schimbă limitele domeniului subiectului.
7. Furnizați informații utilizatorului sub diferite forme.
8. Oferiți capacitatea de a servi simultan un număr mare de utilizatori externi.
Pentru a îndeplini aceste cerințe, este esențial să se introducă managementul centralizat al datelor.
Să ne evidențiem principalele avantaje ale managementului centralizat date comparativ cu software-ul utilizat anterior.
1) Reducerea redundanței datelor stocate. Datele care sunt utilizate de mai multe aplicații sunt structurate (integrate) și stocate într-o singură copie.
2) Eliminarea inconsecvenței datelor stocate. Din cauza neredundantei datelor, se elimina situatia cand, atunci cand un dat este schimbat efectiv, acesta pare a fi modificat nu in toate inregistrarile.
3) Utilizarea datelor cu mai multe aspecte cu o singură intrare.
4) Optimizare cuprinzătoare bazată pe analiza cerințelor utilizatorilor. Sunt alese structuri de date care oferă cel mai bun serviciu.
5) Asigurarea posibilitatii de standardizare. Acest lucru facilitează schimbul de date cu alte sisteme automatizate, precum și procedurile de monitorizare și recuperare a datelor.
6) Asigurarea posibilității de acces autorizat la date, ᴛ.ᴇ. disponibilitatea mecanismelor de protecție a datelor.
Trebuie subliniat faptul că principala problemă a managementului centralizat al datelor este asigurarea independenței programelor de aplicație față de date. Acest lucru se explică prin faptul că integrarea datelor, optimizarea structurilor de date necesită modificări în reprezentarea stocată a datelor și a metodei de acces la date.
Ieșire: Principala trăsătură distinctivă a băncii de date este prezența managementului centralizat al datelor.
Ordinul lui Rosstandart din 28 martie 2018 nr. 156-st „Cu privire la aprobarea standardului național al Federației Ruse”
Ordinul lui Rosstandart din 8 august 2017 nr. 822-st „Cu privire la aprobarea standardului național al Federației Ruse”
Obiectivele principale ale implementării Standardului „Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Dispoziții generale” STO BR IBBS-1.0 (denumit în continuare Standard):
Obiectivele principale ale standardului:
Sistem de plată prin internet este un sistem de desfășurare a decontărilor între organizațiile financiare, de afaceri și utilizatorii de Internet în procesul de cumpărare/vânzare de bunuri și servicii prin Internet. Este sistemul de plată care vă permite să transformați un serviciu de procesare a comenzii sau o vitrină electronică într-un magazin cu drepturi depline, cu toate atributele standard: selectând un produs sau serviciu pe site-ul vânzătorului, cumpărătorul poate efectua o plată fără a părăsi calculator.
În sistemul de comerț electronic, plățile sunt efectuate cu o serie de condiții:
1. Respectul pentru confidențialitate. Atunci când efectuează plăți prin Internet, cumpărătorul dorește ca datele sale (de exemplu, numărul cardului de credit) să fie cunoscute doar de organizațiile care au dreptul legal de a face acest lucru.
2. Menținerea integrității informațiilor. Informațiile de cumpărare nu pot fi modificate de nimeni.
3. Autentificare. Cumpărătorii și vânzătorii trebuie să se asigure că toate părțile implicate în tranzacție sunt cine spun că sunt.
4. Mijloace de plată. Posibilitate de plata prin orice mijloc de plata la dispozitia cumparatorului.
6. Garanții pentru riscul vânzătorului. Atunci când tranzacționează pe internet, vânzătorul este expus multor riscuri asociate cu refuzul bunurilor și cu reaua-credință a cumpărătorului. Amploarea riscurilor trebuie convenită cu furnizorul de sistem de plată și cu alte organizații incluse în lanțurile comerciale prin acorduri speciale.
7. Minimizați taxele de tranzacție. Taxa de procesare a tranzacției pentru comandarea și plata mărfurilor este în mod natural inclusă în costul acestora, astfel încât scăderea prețului tranzacției crește competitivitatea. Este important de menționat că tranzacția trebuie plătită în orice caz, chiar dacă cumpărătorul refuză mărfurile.
Toate aceste condiții trebuie implementate în sistemul de plată prin Internet, care, în esență, sunt versiuni electronice ale sistemelor tradiționale de plată.
Astfel, toate sistemele de plată sunt împărțite în:
Debit (lucrarea cu cecuri electronice și numerar digital);
Credit (lucrare cu carduri de credit).
Sisteme de debit
Schemele de plată prin debit sunt construite în mod similar cu prototipurile lor offline: cec și numerar obișnuit. Există două părți independente implicate în schemă: emitenții și utilizatorii. Emitentul este înțeles ca fiind entitatea care gestionează sistemul de plăți. Emite unele unități electronice reprezentând plăți (de exemplu, bani în conturi bancare).
Utilizatorii sistemului îndeplinesc două funcții principale. Ei efectuează și acceptă plăți pe internet folosind articole electronice emise.
Cecurile electronice sunt analoge cu cecurile obișnuite pe hârtie. Acestea sunt instrucțiunile plătitorului către banca sa pentru a transfera bani din contul său în contul beneficiarului plății. Operațiunea are loc atunci când destinatarul prezintă un cec la bancă. Există două diferențe principale aici. În primul rând, atunci când scrie un cec pe hârtie, plătitorul își pune semnătura reală, iar în versiunea online - o semnătură electronică. În al doilea rând, cecurile în sine sunt emise electronic.
Plățile se fac în mai multe etape:
1. Plătitorul emite un cec electronic, îl semnează cu semnătură electronică și îl trimite destinatarului. Pentru a asigura o mai mare fiabilitate si securitate, numarul contului curent poate fi codificat cu cheia publica a bancii.
2. Cecul este prezentat pentru plata către sistemul de plată. În plus, (fie aici, fie în banca care deservește destinatarul), semnătura electronică este verificată.
3. Dacă se confirmă autenticitatea acestuia, se livrează un produs sau se furnizează un serviciu. Banii sunt transferați din contul plătitorului în contul destinatarului.
Simplitatea schemei de efectuare a plăților (Fig. 43), din păcate, este compensată de dificultățile implementării acesteia din cauza faptului că schemele de verificare nu s-au răspândit încă și nu există centre de certificare pentru implementarea semnăturilor electronice.
O semnătură digitală electronică (EDS) utilizează un sistem de criptare cu cheie publică. Aceasta creează o cheie privată pentru semnare și o cheie publică pentru verificare. Cheia privată este păstrată de utilizator, în timp ce cheia publică poate fi accesată de oricine. Cea mai convenabilă modalitate de a distribui cheile publice este utilizarea centrelor de certificare. Stochează certificate digitale care conțin cheia publică și informații despre proprietar. Acest lucru scutește utilizatorul de obligația de a-și distribui el însuși cheia publică. În plus, autoritățile de certificare oferă autentificare pentru a se asigura că nimeni nu poate genera chei în numele altei persoane.
Banii electronici simulează complet banii reali. În același timp, organizația emitentă - emitentul - își emite omologii electronici, numite diferit în sisteme diferite (de exemplu, cupoane). În plus, acestea sunt cumpărate de utilizatori care le folosesc pentru a plăti cumpărăturile, iar apoi vânzătorul le răscumpără de la emitent. La emitere, fiecare unitate monetară este certificată printr-un sigiliu electronic, care este verificat de către structura emitentă înainte de răscumpărare.
Una dintre caracteristicile banilor fizici este anonimatul lor, adică nu indică cine i-a folosit și când. Unele sisteme, prin analogie, permit clientului sa primeasca numerar electronic in asa fel incat relatia dintre el si bani nu poate fi determinata. Acest lucru se face folosind o schemă de semnătură oarbă.
De asemenea, este de remarcat faptul că atunci când utilizați bani electronici, nu este nevoie de autentificare, deoarece sistemul se bazează pe emiterea de bani în circulație înainte de a le utiliza.
Figura 44 prezintă schema de plată folosind monedă electronică.
Mecanismul de plată este următorul:
1. Cumpărătorul schimbă bani reali în bani electronici în avans. Păstrarea numerarului la client poate fi efectuată în două moduri, care este determinată de sistemul utilizat:
Pe hard diskul computerului;
pe carduri inteligente.
Diferite sisteme oferă diferite scheme de schimb. Unii deschid conturi speciale în care sunt transferate fonduri din contul cumpărătorului în schimbul bancnotelor electronice. Unele bănci pot emite ele însele numerar electronic. Totodata, se emite numai la cererea clientului, cu transferul ulterioar al acestuia pe computerul sau cardul acestui client si retragerea echivalentului de numerar din contul acestuia. La implementarea unei semnături oarbe, cumpărătorul însuși creează bancnote electronice, le trimite la bancă, unde, la primirea de bani reali în cont, acestea sunt certificate cu sigiliu și trimise înapoi clientului.
Pe lângă comoditatea unei astfel de stocări, are și dezavantaje. Deteriorarea unui disc sau a unui card inteligent are ca rezultat o pierdere irecuperabilă de bani electronici.
2. Cumpărătorul transferă bani electronici pentru cumpărare pe serverul vânzătorului.
3. Banii sunt prezentați emitentului, care le verifică autenticitatea.
4. În cazul în care bancnotele electronice sunt autentice, contul vânzătorului se majorează cu suma achiziției, iar bunurile sunt expediate cumpărătorului sau se prestează serviciul.
Una dintre caracteristicile distinctive importante ale monedei electronice este capacitatea de a efectua microplăți. Acest lucru se datorează faptului că valoarea nominală a bancnotelor poate să nu corespundă cu monede reale (de exemplu, 37 de copeici).
Atât băncile, cât și organizațiile nebancare pot emite numerar electronic. Cu toate acestea, un sistem unificat pentru convertirea diferitelor tipuri de monedă electronică nu a fost încă dezvoltat. Prin urmare, doar emitenții înșiși pot răscumpăra numerarul electronic emis de aceștia. În plus, utilizarea unor astfel de bani din structurile nefinanciare nu este garantată de stat. Cu toate acestea, costul scăzut al tranzacției face ca e-cash-ul să fie un instrument atractiv pentru plățile pe internet.
Sisteme de creditare
Sistemele de credit Internet sunt analoge ale sistemelor convenționale care funcționează cu carduri de credit. Diferența constă în desfășurarea tuturor tranzacțiilor prin internet și, ca urmare, nevoia de securitate și autentificare suplimentară.
Următorii sunt implicați în efectuarea plăților prin internet folosind carduri de credit:
1. Cumpărător. Un client care are un computer cu un browser Web și acces la Internet.
2. Banca emitentă. Iată contul cumpărătorului. Banca emitenta emite carduri si este garantul indeplinirii obligatiilor financiare ale clientului.
3. Vânzători. Vânzătorii sunt servere de comerț electronic care mențin cataloage de bunuri și servicii și acceptă comenzile de cumpărare ale clienților.
4. Achizitionarea bancilor. Băncile care deservesc comercianții. Fiecare vânzător are o singură bancă în care își ține contul curent.
5. Sistem de plată prin internet. Componente electronice care sunt intermediari între alți participanți.
6. Sistem tradițional de plată. Un set de mijloace financiare și tehnologice pentru deservirea cardurilor de acest tip. Printre principalele sarcini rezolvate de sistemul de plată se numără utilizarea cardurilor ca mijloc de plată pentru bunuri și servicii, utilizarea serviciilor bancare, decontări reciproce etc. Participanții la sistemul de plată sunt persoane fizice și juridice unite prin relații de utilizare a cardurilor de credit.
7. Centru de procesare al sistemului de plată. O organizație care oferă informații și interacțiune tehnologică între participanții la un sistem tradițional de plată.
8. Banca de decontare a sistemului de plată. O instituție de credit care efectuează decontări reciproce între participanții la sistemul de plăți în numele centrului de procesare.
Schema generală de plăți într-un astfel de sistem este prezentată în Figura 45.
1. Cumpărătorul din magazinul electronic formează un coș de mărfuri și selectează metoda de plată „card de credit”.
Prin magazin, adică parametrii cardului sunt introduși direct pe site-ul magazinului, după care sunt transferați în sistemul de plată prin Internet (2a);
Pe serverul sistemului de plată (2b).
Avantajele celei de-a doua căi sunt evidente.
În acest caz, informațiile despre carduri nu rămân în magazin și, în consecință, riscul de a le primi de către terți sau de fraudă de către vânzător este redus. În ambele cazuri, la transferul detaliilor cardului de credit, există încă posibilitatea ca acestea să fie interceptate de atacatori în rețea. Pentru a preveni acest lucru, datele sunt criptate în timpul transmiterii.
Criptarea, desigur, reduce posibilitatea de interceptare a datelor în rețea, prin urmare, comunicațiile cumpărător/vânzător, vânzător/sistem de plată pe Internet, cumpărător/sistem de plată prin Internet sunt de preferință efectuate folosind protocoale securizate. Cel mai comun dintre acestea astăzi este protocolul SSL (Secure Sockets Layer), precum și standardul de tranzacții electronice securizate SET (Secure Electronic Transaction), conceput pentru a înlocui eventual SSL în procesarea tranzacțiilor legate de plățile pentru achizițiile cu cardul de credit de pe Internet.
3. Sistemul de plată prin Internet trimite cererea de autorizare către sistemul tradițional de plată.
4. Următorul pas depinde dacă banca emitentă menține o bază de date online (DB) de conturi. Dacă baza de date este disponibilă, centrul de procesare trimite băncii emitente o cerere de autorizare a cardului (vezi introducerea sau dicționarul) (4a) și apoi (4b) primește rezultatul acesteia. Dacă nu există o astfel de bază, atunci centrul de procesare însuși stochează informații despre starea conturilor deținătorilor de carduri, listele de oprire și îndeplinește cererile de autorizare. Aceste informații sunt actualizate în mod regulat de către băncile emitente.
Magazinul oferă un serviciu sau expediază un produs (8a);
Centrul de procesare trimite informații despre tranzacția finalizată către banca de decontare (8b). Banii din contul cumpărătorului la banca emitentă sunt transferați prin banca de decontare în contul magazinului din banca achizitoare.
În cele mai multe cazuri, astfel de plăți necesită un software special.
Poate fi livrat cumpărătorului (numit portofel electronic), vânzătorului și băncii sale de service.
Anterior25262728293031323334353637383940Următorul
În viața noastră, internetul nu este doar un mijloc de comunicare, divertisment și recreere, ci și pentru muncă, precum și pentru efectuarea plăților electronice. Mulți dintre noi folosim servicii bancare prin internet și facem achiziții în magazinele online.
În ciuda securității sistemelor bancare prin internet și a magazinelor online - astfel de metode de protecție sunt utilizate ca autentificare dublă, sisteme de parole dinamice unice pentru SMS, o listă suplimentară de parole unice sau chei hardware, o conexiune protejată prin SSL și așa mai departe - metodele moderne de atac fac posibilă ocolirea chiar și a celor mai puternice mecanisme de apărare.
Astăzi, atacatorii pot distinge trei abordări cele mai comune de a ataca datele financiare ale utilizatorilor de internet:
- infectarea computerului victimei cu programe troiene (keylogger, screen logger etc.) care folosesc pentru interceptarea datelor de intrare;
- utilizarea metodelor de inginerie socială - atacuri de phishing prin e-mail, site-uri web, rețele sociale etc.;
— atacuri tehnologice (sniffing, spoofing servere DNS/Proxy, certificate spoofing etc.).
Utilizatorul nu trebuie să se bazeze doar pe bancă, ci să folosească programe de securitate pentru a spori securitatea plăților electronice pe Internet.
Soluțiile moderne de Internet Security, pe lângă funcțiile antivirus, oferă instrumente de plată securizate (medii virtuale izolate pentru operațiuni online), precum și un scanner de vulnerabilități, protecție web cu verificarea linkurilor, blocarea scripturilor și ferestrelor pop-up rău intenționate, protecție a datelor împotriva interceptării ( anti-keylogger), o tastatură virtuală.
Printre soluțiile complexe cu o funcție separată de protecție a plăților online, se pot evidenția Kaspersky Internet Security și componenta Safe Money, avast!
Internet Security cu avast! SafeZone și Bitdefender Internet Security cu Bitdefender Safepay. Aceste produse vă permit să nu vă faceți griji cu privire la protecția suplimentară.
Dacă aveți un alt antivirus, vă puteți uita la mijloacele de protecție suplimentară. Printre acestea: Bitdefender Safepay (browser web izolat), Trusteer Rapport și HitmanPro.Alert pentru a proteja browserul de atacuri, plug-in-uri și aplicații Netcraft Extension, McAfee SiteAdvisor, Adguard pentru a proteja împotriva phishingului.
Nu uitați de firewall și client VPN dacă trebuie să efectuați tranzacții financiare atunci când vă conectați la rețele Wi-Fi fără fir deschise în locuri publice. De exemplu, CyberGhost VPN folosește criptarea traficului AES pe 256 de biți, care împiedică utilizarea datelor de către un atacator, chiar dacă sunt interceptate.
Ce metode de protecție a plăților online folosiți? Împărtășește-ți experiența în comentarii.
Sistemul de securitate a informațiilor al băncilor este foarte diferit de strategiile similare ale altor companii și organizații. Acest lucru se datorează în primul rând naturii specifice a amenințărilor, precum și activităților publice ale băncilor, care sunt nevoite să faciliteze accesul la conturi pentru confortul clienților.
Odată cu dezvoltarea și extinderea domeniului de aplicare a tehnologiei informatice, acuitatea problemei asigurării securității sistemelor informatice și protejării informațiilor stocate și procesate în acestea de diferite amenințări este în creștere. Există o serie de motive obiective pentru aceasta.
Principalul este nivelul crescut de încredere în sistemele automate de procesare a informațiilor. Li se încredințează cea mai responsabilă muncă, de a cărei calitate depinde viața și bunăstarea multor oameni. Calculatoarele gestionează procesele tehnologice ale întreprinderilor și centralelor nucleare, mișcările aeronavelor și trenurilor, efectuează tranzacții financiare și procesează informații secrete.
Sunt cunoscute diferite opțiuni pentru protejarea informațiilor - de la un agent de securitate la intrare până la metode verificate matematic de a ascunde datele de la cunoștință. În plus, putem vorbi despre protecția globală și despre aspectele sale individuale: protecția calculatoarelor personale, a rețelelor, a bazelor de date etc.
Trebuie remarcat faptul că nu există sisteme absolut sigure. Putem vorbi despre fiabilitatea sistemului, în primul rând, doar cu o anumită probabilitate și, în al doilea rând, despre protecția față de o anumită categorie de contravenienți. Cu toate acestea, pot fi prevăzute intruziuni într-un sistem informatic. Apărarea este un fel de competiție între apărare și atac: câștigă cine știe mai multe și prevede măsuri eficiente.
Organizarea protecției sistemului automatizat de prelucrare a informațiilor al băncii este un singur set de măsuri care ar trebui să țină cont de toate caracteristicile procesului de prelucrare a informațiilor. În ciuda inconvenientelor cauzate utilizatorului în timpul funcționării, în multe cazuri, măsurile de protecție pot fi absolut necesare pentru funcționarea normală a sistemului. Principalele inconveniente menționate ar trebui să includă Gaikovich Yu.V., Pershin A.S. Securitatea sistemelor bancare electronice.-M.: United Europe, 1994.- S..33:
Este greu de imaginat o bancă modernă fără un sistem informatic automatizat. Conectarea calculatoarelor între ele și cu calculatoare mai puternice, precum și cu calculatoarele altor bănci - este, de asemenea, o condiție necesară pentru funcționarea cu succes a băncii - numărul de operațiuni care trebuie efectuate într-o perioadă scurtă de timp este prea mare.
În același timp, sistemele informaționale devin una dintre cele mai vulnerabile laturi ale unei bănci moderne, atrăgând intruși, atât din rândul personalului băncii, cât și din exterior. Estimările pierderilor din infracțiunile legate de interferența în activitățile sistemului informațional al băncilor variază foarte mult. Există o varietate de metode pentru calcularea lor. Furtul mediu electronic de bancă este de aproximativ 9.000 de dolari, iar unul dintre cele mai notorii scandaluri implică o încercare de a fura 700 de milioane de dolari (First National Bank, Chicago).
În plus, este necesar să se țină seama nu numai de cantitatea daunelor directe, ci și de măsurile foarte costisitoare care sunt efectuate după încercările reușite de a pirata sistemele informatice. Așadar, unul dintre exemplele cele mai izbitoare este pierderea datelor privind activitatea cu conturile secrete ale Băncii Angliei în ianuarie 1999. Această pierdere a forțat banca să schimbe codurile tuturor conturilor corespondente. În acest sens, toate forțele de informații și contrainformații disponibile au fost alertate în Marea Britanie pentru a preveni o posibilă scurgere de informații care ar putea cauza pagube enorme. Guvernul a luat măsuri extreme pentru ca străinii să nu cunoască conturile și adresele către care Banca Angliei trimite zilnic sute de miliarde de dolari. Mai mult, în Marea Britanie le era mai mult frică de o situație în care datele ar putea fi la dispoziția serviciilor de informații străine. În acest caz, ar fi fost deschisă întreaga rețea de corespondenți financiari a Băncii Angliei. Posibilitatea de deteriorare a fost eliminată în câteva săptămâni.
Adzhiev V. Mituri despre securitatea software-ului: lecții din dezastre celebre//Sisteme deschise.-1999. -- №6.-- C..21-24
Serviciile oferite astăzi de bănci se bazează în mare măsură pe utilizarea interacțiunii electronice între bănci, bănci și clienții și partenerii lor comerciali. În prezent, accesul la serviciile bancare a devenit posibil din diferite puncte de la distanță, inclusiv terminale de acasă și computere de birou. Acest fapt ne face să ne îndepărtăm de conceptul de „uși încuiate”, care era tipic băncilor în anii ’60, când calculatoarele erau folosite în majoritatea cazurilor în modul batch ca instrument auxiliar și nu aveau nicio legătură cu lumea exterioară.
Nivelul echipamentului cu instrumente de automatizare joacă un rol important în activitățile băncii și, prin urmare, afectează direct poziția și veniturile acesteia. Creșterea concurenței între bănci duce la necesitatea reducerii timpului de efectuare a decontărilor, măririi gamei și îmbunătățirii calității serviciilor oferite. Cu cât vor dura mai puțin timp decontările dintre bancă și clienți, cu atât va fi mai mare cifra de afaceri a băncii și, în consecință, profitul. În plus, banca va putea răspunde mai rapid la schimbările din situația financiară. O varietate de servicii bancare (în primul rând, aceasta se referă la posibilitatea plăților fără numerar între bancă și clienții săi folosind carduri de plastic) pot crește semnificativ numărul clienților săi și, ca urmare, pot crește profiturile.
Securitatea informațiilor băncii ar trebui să țină cont de următorii factori specifici:
Infracțiunile din sectorul bancar au și ele caracteristici proprii Gamza V.A. , Tkachuk I.B. Securitatea unei bănci comerciale.- M ..: Europa Unită, 2000.- C..24:
De regulă, atacatorii folosesc de obicei propriile conturi, către care sunt transferate sumele furate. Majoritatea criminalilor nu știu cum să spele banii furați. Capacitatea de a comite o infracțiune și capacitatea de a obține bani nu sunt același lucru.
Majoritatea infracțiunilor informatice sunt mărunte. Prejudiciul cauzat de ei se situează în intervalul de la 10.000 la 50.000 de dolari.
Crimele informatice de succes necesită de obicei un număr mare de tranzacții bancare (până la câteva sute). Cu toate acestea, sume mari pot fi transferate în doar câteva tranzacții.
Majoritatea intrușilor sunt funcționari. Deși personalul de rang înalt al băncii poate comite infracțiuni și poate cauza mult mai multe daune băncii, astfel de cazuri sunt rare.
Crimele informatice nu sunt întotdeauna de înaltă tehnologie. Este suficientă falsificarea datelor, modificarea parametrilor mediului ASOIB etc., iar aceste acțiuni sunt disponibile și personalului de întreținere.
Mulți atacatori își explică acțiunile prin faptul că doar se împrumută de la bancă cu o rambursare ulterioară. Cu toate acestea, „întoarcerea”, de regulă, nu are loc.
Specificul protecției sistemelor automate de procesare a informațiilor ale băncilor se datorează particularităților sarcinilor pe care le rezolvă:
De regulă, ASOIB procesează un flux mare de solicitări care sosesc constant în timp real, fiecare dintre acestea nu necesită numeroase resurse pentru procesare, dar împreună pot fi procesate doar de un sistem performant;
ASOIB stochează și prelucrează informații confidențiale care nu sunt destinate publicului larg. Falsificarea sau scurgerea acestuia poate duce la consecințe grave (pentru bancă sau clienții săi). Prin urmare, ASOIB sunt sortite să rămână relativ închise, să opereze sub controlul unor programe specifice și să acorde o mare atenție asigurării securității acestora;
O altă caracteristică a ASOIB este cerințele crescute pentru fiabilitatea software-ului și hardware-ului. Din această cauză, multe ASOIB moderne gravitează către așa-numita arhitectură de computer tolerantă la erori, care permite procesarea continuă a informațiilor chiar și în fața diferitelor defecțiuni și defecțiuni.
Utilizarea ASOI de către bănci este asociată cu specificul protecției acestor sisteme, așa că băncile ar trebui să acorde mai multă atenție protecției sistemelor lor automatizate.
Concluzii la primul capitol:
Banca a fost întotdeauna asociată cu prelucrarea și stocarea unei cantități mari de date confidențiale. În primul rând, acestea sunt date personale despre clienți, despre depozitele acestora și despre toate tranzacțiile efectuate.
Toate informațiile comerciale stocate și prelucrate de instituțiile de credit sunt expuse la o mare varietate de riscuri asociate cu viruși, defecțiuni hardware, defecțiuni ale sistemului de operare etc. Dar aceste probleme nu pot provoca daune grave. Backup-ul zilnic al datelor, fără de care funcționarea sistemului informațional al oricărei întreprinderi este de neconceput, reduce riscul pierderii irecuperabile a informațiilor la minimum. În plus, metode bine dezvoltate și larg cunoscute de protecție împotriva acestor amenințări. Prin urmare, riscurile asociate cu accesul neautorizat la informații confidențiale (UAI) ies în prim-plan.
Accesul neautorizat este o realitate
Până în prezent, cele mai comune trei metode de furt de informații confidențiale. În primul rând, accesul fizic la locurile de stocare și prelucrare a acestuia. Există multe opțiuni aici. De exemplu, atacatorii pot pătrunde noaptea într-un birou bancar și pot fura hard disk-uri cu toate bazele de date. Este posibil chiar și un raid armat, al cărui scop nu este banii, ci informațiile. Este posibil ca angajatul băncii însuși să poată scoate mediul de stocare din teritoriu.
În al doilea rând, utilizarea copiilor de rezervă. În majoritatea băncilor, sistemele de rezervă pentru datele importante se bazează pe unități de bandă. Ei înregistrează copiile pe care le creează pe benzi magnetice, care sunt apoi stocate într-o locație separată. Accesul la ele este reglementat mult mai ușor. În timpul transportului și depozitării acestora, un număr relativ mare de persoane pot face copii ale acestora. Riscurile asociate cu copierea de rezervă a datelor sensibile nu pot fi subestimate. De exemplu, majoritatea experților sunt siguri că bazele de date cu postări ale Băncii Centrale a Federației Ruse, care au apărut la vânzare în 2005, au fost furate tocmai datorită copiilor preluate de pe benzi magnetice. În practica mondială, există multe astfel de incidente. În septembrie anul trecut, de exemplu, angajații Chase Card Services (o divizie a JPMorgan Chase & Co.), un furnizor de carduri de credit, au aruncat din greșeală cinci casete de rezervă care conțineau informații despre 2,6 milioane de titulari de conturi de credit Circuit City.
În al treilea rând, cel mai probabil mod de a scurge informații confidențiale este accesul neautorizat al angajaților băncii. Atunci când folosesc doar instrumente standard ale sistemului de operare pentru a separa drepturile, utilizatorii au adesea posibilitatea de a copia indirect (cu ajutorul anumitor software) complet bazele de date cu care lucrează și de a le scoate în afara companiei. Uneori, angajații fac acest lucru fără nicio intenție rău intenționată, doar pentru a lucra cu informații acasă. Cu toate acestea, astfel de acțiuni reprezintă o încălcare gravă a politicii de securitate și pot deveni (și deveni!) motivul dezvăluirii datelor confidențiale.
În plus, în orice bancă există un grup de persoane cu privilegii ridicate în rețeaua locală. Vorbim despre administratori de sistem. Pe de o parte, au nevoie de el pentru a-și îndeplini sarcinile oficiale. Dar, pe de altă parte, au posibilitatea de a obține acces la orice informație și de a-și „acoperi urmele”.
Astfel, sistemul de protejare a informațiilor bancare împotriva accesului neautorizat ar trebui să fie compus din cel puțin trei subsisteme, fiecare dintre acestea oferind protecție împotriva propriului tip de amenințări. Acestea sunt subsistemul pentru protejarea împotriva accesului fizic la date, subsistemul pentru asigurarea securității backup-urilor și subsistemul pentru protejarea împotriva persoanelor din interior. Și este recomandabil să nu neglijați niciunul dintre ele, deoarece fiecare amenințare poate provoca dezvăluirea datelor confidențiale.
Bănci legea nu este scrisă?
În prezent, activitățile băncilor sunt reglementate de legea federală „Cu privire la bănci și activitatea bancară”. Acesta, printre altele, introduce conceptul de „secret bancar”. Potrivit acesteia, orice instituție de credit este obligată să asigure confidențialitatea tuturor datelor privind depozitele clienților. Este responsabil pentru dezvăluirea acestora, inclusiv pentru compensarea prejudiciului cauzat de scurgerea de informații. În același timp, nu există cerințe pentru securitatea sistemelor informaționale bancare. Aceasta înseamnă că băncile iau toate deciziile privind protecția datelor comerciale pe cont propriu, pe baza experienței specialiștilor lor sau a companiilor terțe (de exemplu, cele care efectuează audituri de securitate a informațiilor). Singura recomandare este standardul Băncii Centrale a Federației Ruse „Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Dispoziții generale". A apărut pentru prima dată în 2004, iar în 2006 a fost adoptată o nouă versiune. La crearea și finalizarea acestui document departamental s-au folosit standardele actuale rusești și internaționale în domeniul securității informațiilor.
Banca Centrală a Federației Ruse o poate recomanda doar altor bănci, dar nu poate insista asupra implementării obligatorii. În plus, există puține cerințe clare în standard care determină alegerea anumitor produse. Este cu siguranță important, dar în acest moment nu are o semnificație practică serioasă. De exemplu, despre produsele certificate, se spune așa: „...pot fi folosite mijloace certificate sau autorizate de protecție a informațiilor împotriva accesului neautorizat”. Nu există o listă corespunzătoare.
Standardul enumeră, de asemenea, cerințele pentru mijloacele criptografice de protecție a informațiilor din bănci. Și aici există deja o definiție mai mult sau mai puțin clară: „CIPF ... trebuie implementat pe baza unor algoritmi care respectă standardele naționale ale Federației Ruse, termenii contractului cu contrapartea și (sau) standardele a organizației”. Este posibil să se confirme conformitatea modulului criptografic cu GOST 28147-89 prin certificare. Prin urmare, atunci când se utilizează sisteme de criptare într-o bancă, este de dorit să se utilizeze furnizori de criptare software sau hardware certificați de Serviciul Federal de Securitate al Federației Ruse, adică module externe care se conectează la software și implementează procesul de criptare în sine.
În iulie anul trecut, a fost adoptată legea federală a Federației Ruse „Cu privire la datele cu caracter personal”, care a intrat în vigoare la 1 ianuarie 2007. Unii experți au asociat cu aceasta apariția unor cerințe mai specifice pentru sistemele de securitate bancară, deoarece băncile sunt organizații care prelucrează date cu caracter personal. Cu toate acestea, legea în sine, care este cu siguranță foarte importantă în general, nu este în prezent aplicabilă în practică. Problema constă în lipsa standardelor de protecție a datelor private și a organismelor care ar putea controla implementarea acestora. Adică, se dovedește că în prezent băncile sunt libere să aleagă sisteme de protejare a informațiilor comerciale.
Protecția accesului fizic
Băncile au pus în mod tradițional un mare accent pe securitatea fizică a birourilor de operare, a custodelor și altele asemenea. Toate acestea reduc riscul accesului neautorizat la informații comerciale prin acces fizic. Cu toate acestea, birourile băncilor și sediile tehnice în care sunt amplasate serverele nu diferă de regulă în ceea ce privește gradul de protecție față de sediile altor companii. Prin urmare, pentru a minimiza riscurile descrise, este necesară utilizarea unui sistem de protecție criptografică.
Astăzi, pe piață există un număr mare de utilități care criptează datele. Cu toate acestea, particularitățile procesării lor în bănci impun cerințe suplimentare pentru software-ul corespunzător. În primul rând, principiul criptării transparente trebuie implementat în sistemul de protecție criptografică. Când îl utilizați, datele din stocarea principală sunt întotdeauna doar într-o formă codificată. În plus, această tehnologie vă permite să minimizați costul muncii regulate cu date. Nu trebuie să fie decriptate și criptate în fiecare zi. Accesul la informații se realizează folosind un software special instalat pe server. Decriptează automat informațiile când sunt accesate și le criptează înainte de a fi scrise pe hard disk. Aceste operațiuni sunt efectuate direct în memoria RAM a serverului.
În al doilea rând, bazele de date bancare sunt foarte mari. Astfel, sistemul de protecție a informațiilor criptografice ar trebui să funcționeze nu cu partiții de hard disk virtuale, ci reale, matrice RAID și alte medii de stocare pe server, de exemplu, stocări SAN. Faptul este că fișierele container care pot fi conectate la sistem ca discuri virtuale nu sunt proiectate să funcționeze cu cantități mari de date. În cazul în care un disc virtual creat dintr-un astfel de fișier este mare, atunci când chiar și mai multe persoane îl accesează în același timp, puteți observa o scădere semnificativă a vitezei de citire și scriere a informațiilor. Munca a câtorva zeci de oameni cu un dosar mare container se poate transforma într-un adevărat chin. De asemenea, rețineți că aceste obiecte riscă să fie corupte de viruși, blocări ale sistemului de fișiere și așa mai departe. La urma urmei, de fapt, sunt fișiere obișnuite, dar destul de mari ca dimensiune. Și chiar și o ușoară modificare poate duce la imposibilitatea decodării tuturor informațiilor conținute în ea. Ambele cerințe obligatorii restrâng semnificativ gama de produse potrivite pentru implementarea protecției. De fapt, astăzi există doar câteva astfel de sisteme pe piața rusă.
Nu este nevoie să luăm în considerare în detaliu caracteristicile tehnice ale sistemelor server pentru protecția informațiilor criptografice, deoarece am comparat deja aceste produse într-una dintre numerele anterioare. ( Stolyarov N., Davletkhanov M. UTM-protecție.) Dar merită remarcate unele caracteristici ale unor astfel de sisteme, a căror prezență este de dorit pentru bănci. Prima este legată de certificarea deja menționată a modulului criptografic utilizat. Software-ul sau hardware-ul corespunzător este deja disponibil în majoritatea băncilor. Prin urmare, sistemul de protecție a informațiilor serverului ar trebui să prevadă posibilitatea conectării și utilizării acestora. A doua cerință specială pentru sistemul de securitate a informațiilor este capacitatea de integrare în sistemul fizic de securitate al biroului și/sau al camerei de server. Acest lucru vă permite să protejați informațiile împotriva accesului neautorizat asociat cu furtul, piratarea etc.
O atenție deosebită în bănci ar trebui acordată siguranței informațiilor, deoarece de fapt sunt banii clienților. Prin urmare, sistemul de protecție ar trebui să fie prevăzut cu caracteristici speciale care să reducă la minimum riscul pierderii acestuia. Una dintre cele mai notabile este funcția de determinare a sectoarelor defecte de pe hard disk. În plus, capacitatea de a întrerupe și anula procesele de criptare inițială a discului, decriptarea și recriptarea acestuia este de mare importanță. Acestea sunt proceduri destul de lungi, orice eșec în timpul căruia amenință cu pierderea completă a tuturor datelor.
Factorul uman are un impact foarte mare asupra riscurilor asociate accesului neautorizat la informații confidențiale. Prin urmare, este de dorit ca sistemul de protecție să prevadă posibilitatea reducerii acestei relații. Acest lucru se realizează prin utilizarea unor mijloace fiabile de stocare a cheilor de criptare - carduri inteligente sau chei USB. Includerea acestor jetoane în produs este optimă, permite nu numai optimizarea costurilor, dar asigură și compatibilitatea deplină a software-ului și hardware-ului.
O altă funcție importantă care permite minimizarea influenței factorului uman asupra fiabilității sistemului de protecție este cvorumul de chei. Esența sa constă în împărțirea cheii de criptare în mai multe părți, fiecare dintre acestea fiind dată utilizării unui angajat responsabil. Pentru a conecta un disc închis, este necesar un număr specificat de piese. Mai mult, poate fi mai mic decât numărul total de părți ale cheii. Această abordare vă permite să protejați datele împotriva utilizării abuzive de către angajații responsabili și oferă, de asemenea, flexibilitatea necesară activității băncii.
Protecție de rezervă
Backup-ul regulat al tuturor informațiilor stocate în bancă este o măsură absolut necesară. Vă permite să reduceți semnificativ pierderile în cazul unor probleme precum coruperea datelor de către viruși, defecțiuni hardware etc. Dar, în același timp, crește riscurile asociate accesului neautorizat. Practica arată că suporturile pe care sunt scrise copiile de siguranță nu ar trebui să fie stocate în camera serverului, ci într-o altă cameră sau chiar într-o clădire. În caz contrar, în caz de incendiu sau alt incident grav, atât datele în sine, cât și arhivele acestora se pot pierde iremediabil. Singura modalitate de a proteja în siguranță copiile de rezervă împotriva utilizării neautorizate este prin criptare. În acest caz, păstrând cheia de criptare la el, ofițerul de securitate poate transfera în siguranță media cu arhive către personalul tehnic.
Principala dificultate în organizarea protecției criptografice a backup-urilor este nevoia de a separa responsabilitățile pentru gestionarea arhivării datelor. Administratorul de sistem sau alt angajat tehnic ar trebui să configureze și să implementeze procesul de backup în sine. Criptarea informațiilor ar trebui să fie gestionată de un angajat responsabil - un ofițer de securitate. În același timp, este necesar să înțelegem că în marea majoritate a cazurilor rezervarea se realizează automat. Această problemă poate fi rezolvată doar prin „încorporarea” unui sistem de protecție criptografică între sistemul de management al backupului și dispozitivele care înregistrează date (streamere, unități DVD etc.).
Astfel, pentru a fi utilizate în bănci, produsele criptografice trebuie să poată funcționa și cu diverse dispozitive folosite pentru a scrie copii de siguranță pe medii de stocare: streamere, unități CD și DVD, hard disk-uri amovibile etc.
Astăzi, există trei tipuri de produse concepute pentru a minimiza riscurile asociate cu accesul neautorizat la copii de rezervă. Primul include dispozitive speciale. Astfel de soluții hardware au multe avantaje, inclusiv criptarea fiabilă a informațiilor și viteza mare. Cu toate acestea, au trei dezavantaje semnificative care împiedică utilizarea lor în bănci. Primul: cost foarte mare (zeci de mii de dolari). În al doilea rând: posibile probleme cu importul în Rusia (nu trebuie să uităm că vorbim de instrumente criptografice). Al treilea dezavantaj este incapacitatea de a conecta furnizori externi de criptomonede certificați la ei. Aceste plăci funcționează numai cu algoritmi de criptare implementați în ele la nivel hardware.
Al doilea grup de sisteme de protecție pentru protecția criptografică a backup-urilor este format din module care sunt oferite clienților lor de către dezvoltatorii de software și hardware pentru backup. Ele există pentru toate cele mai cunoscute produse din acest domeniu: ArcServe, Veritas Backup Exec etc. Adevărat, au și propriile lor caracteristici. Cel mai important lucru este să lucrați numai cu software-ul sau unitatea „dvs.”. Între timp, sistemul informațional al băncii este în continuă dezvoltare. Și este posibil ca înlocuirea sau extinderea sistemului de rezervă să necesite costuri suplimentare pentru modificarea sistemului de protecție. În plus, majoritatea produselor din acest grup implementează algoritmi vechi de criptare lentă (de exemplu, 3DES), nu există instrumente de gestionare a cheilor și nu există posibilitatea de a conecta furnizori externi de criptare.
Toate acestea ne obligă să acordăm o atenție deosebită sistemelor de protecție criptografică pentru backup-urile din grupa a treia. Include produse software, firmware și hardware special concepute care nu sunt legate de sisteme specifice de arhivare a datelor. Aceștia acceptă o gamă largă de dispozitive de înregistrare a informațiilor, ceea ce le permite să fie utilizate în întreaga bancă, inclusiv în toate sucursalele acesteia. Astfel se asigura uniformitatea mijloacelor de protectie folosite si minimizarea costurilor de exploatare.
Adevărat, este de remarcat faptul că, în ciuda tuturor avantajelor lor, pe piață există foarte puține produse din al treilea grup. Acest lucru se datorează, cel mai probabil, lipsei unei cereri mari de sisteme de protecție criptografică de rezervă. De îndată ce conducerea băncilor și a altor organizații mari își va da seama de realitatea riscurilor asociate cu arhivarea informațiilor comerciale, numărul jucătorilor de pe această piață va crește.
Protecția insiderului
Studii recente în domeniul securității informațiilor, precum sondajul anual CSI/FBI Computer Crime And Security Survey, au arătat că pierderile financiare ale companiilor din cauza majorității amenințărilor sunt în scădere de la an la an. Cu toate acestea, există mai multe riscuri, ale căror pierderi sunt în creștere. Una dintre ele este furtul deliberat de informații confidențiale sau încălcarea regulilor de manipulare a acestora de către acei angajați al căror acces la datele comerciale este necesar pentru îndeplinirea atribuțiilor oficiale. Se numesc persoane din interior.
În marea majoritate a cazurilor, furtul de informații confidențiale se realizează folosind medii mobile: CD-uri și DVD-uri, dispozitive ZIP și, cel mai important, tot felul de unități USB. Distribuția lor în masă a dus la înflorirea comerțului privilegiat în întreaga lume. Liderii majorității băncilor sunt bine conștienți de ceea ce amenință, de exemplu, dacă o bază de date cu date personale ale clienților lor sau, în plus, tranzacții pe conturile acestora, cade în mâinile structurilor criminale. Și încearcă să lupte împotriva posibilului furt de informații cu metodele organizatorice de care dispun.
Cu toate acestea, metodele organizatorice în acest caz sunt ineficiente. Astăzi este posibil să se organizeze transferul de informații între computere folosind o unitate flash în miniatură, un telefon mobil, un mp3 player, o cameră digitală... Desigur, puteți încerca să interziceți aducerea tuturor acestor dispozitive în birou, dar acest lucru, în primul rând, va afecta negativ relațiile cu angajații și, în al doilea rând, este încă foarte dificil să se stabilească un control cu adevărat eficient asupra oamenilor - banca nu este o "cutie poștală". Și chiar și dezactivarea tuturor dispozitivelor de pe computere care pot fi folosite pentru a scrie informații pe medii externe (unități FDD și ZIP, unități CD și DVD etc.) și porturile USB nu va ajuta. La urma urmei, primele sunt necesare pentru lucru, iar la cele din urmă sunt conectate diverse periferice: imprimante, scanere etc. Și nimeni nu poate împiedica o persoană să închidă imprimanta pentru un minut, să introducă o unitate flash în portul liber și să copieze informații importante în acesta. Puteți găsi, desigur, modalități originale de protecție. De exemplu, într-o bancă au încercat această metodă de rezolvare a problemei: au umplut joncțiunea portului USB și a cablului cu rășină epoxidică, „legând” strâns pe acesta din urmă de computer. Dar, din fericire, astăzi există metode de control mai moderne, fiabile și flexibile.
Cel mai eficient mijloc de a minimiza riscurile asociate persoanelor din interior este software-ul special care gestionează în mod dinamic toate dispozitivele și porturile de computer care pot fi folosite pentru a copia informații. Principiul muncii lor este următorul. Permisiunile de utilizare a diferitelor porturi și dispozitive sunt setate pentru fiecare grup de utilizatori sau pentru fiecare utilizator în mod individual. Cel mai mare avantaj al unui astfel de software este flexibilitatea. Puteți introduce restricții pentru anumite tipuri de dispozitive, modelele acestora și instanțe individuale. Acest lucru vă permite să implementați politici foarte complexe pentru distribuirea drepturilor de acces.
De exemplu, unor angajați li se poate permite să utilizeze orice imprimante și scanere conectate la porturile USB. Toate celelalte dispozitive introduse în acest port vor rămâne inaccesibile. Dacă banca folosește un sistem de autentificare a utilizatorilor bazat pe jetoane, atunci în setări puteți specifica modelul de cheie utilizat. Atunci utilizatorii vor avea voie să folosească numai dispozitivele achiziționate de companie, iar toate celelalte vor fi inutile.
Pe baza principiului de funcționare a sistemelor de protecție descris mai sus, se poate înțelege ce puncte sunt importante atunci când alegeți programe care implementează blocarea dinamică a dispozitivelor de înregistrare și a porturilor de computer. În primul rând, este versatilitatea. Sistemul de protecție ar trebui să acopere întreaga gamă de porturi posibile și dispozitive de intrare-ieșire a informațiilor. În caz contrar, riscul de furt de informații comerciale rămâne inacceptabil de mare. În al doilea rând, software-ul în cauză ar trebui să fie flexibil și să vă permită să creați reguli folosind o cantitate mare de informații diverse despre dispozitive: tipurile acestora, producătorii de modele, numerele unice pe care le are fiecare instanță etc. Și, în al treilea rând, sistemul de protecție a insiderului ar trebui să se poată integra cu sistemul informațional al băncii, în special cu Active Directory. În caz contrar, administratorul sau ofițerul de securitate va trebui să mențină două baze de date de utilizatori și computere, ceea ce nu numai că este incomod, dar crește și riscul de erori.
Rezumând
Așadar, astăzi există pe piață produse cu ajutorul cărora orice bancă poate organiza un sistem de încredere pentru protejarea informațiilor împotriva accesului neautorizat și a utilizării abuzive. Adevărat, atunci când le alegi, trebuie să fii foarte atent. În mod ideal, acest lucru ar trebui făcut de către experți interni de nivelul corespunzător. Este permisă utilizarea serviciilor terților. Totuși, în acest caz, este posibilă o situație în care banca se va impune cu pricepere nu cu un software adecvat, ci cu unul care să fie benefic companiei furnizor. În plus, piața internă de consultanță în securitatea informațiilor este la început.
Între timp, a face alegerea corectă nu este deloc dificilă. Este suficient să te înarmezi cu criteriile pe care le-am enumerat și să studiezi cu atenție piața sistemelor de securitate. Dar există o „capcană” care trebuie reținută. În mod ideal, sistemul de securitate a informațiilor al băncii ar trebui să fie unificat. Adică toate subsistemele trebuie să fie integrate în sistemul informațional existent și, de preferință, să aibă un management comun. În caz contrar, costurile cu forța de muncă crescute pentru administrarea protecției și riscurile crescute din cauza erorilor de management sunt inevitabile. Prin urmare, pentru a construi toate cele trei subsisteme de protecție descrise astăzi, este mai bine să alegeți produsele lansate de un singur dezvoltator. Astăzi, în Rusia există companii care creează tot ceea ce este necesar pentru a proteja informațiile bancare de accesul neautorizat.
Activitatea bancară este asociată cu prelucrarea unor volume mari de informații, cea mai mare parte a acestora fiind date confidențiale ale clienților.
Acestea includ date personale ale utilizatorilor, copii ale documentelor acestora, numere de cont, date despre tranzacții, tranzacții etc.
În procesul de lucru cu aceste informații, este important ca acestea să nu cadă în mâinile intrușilor, să nu fie schimbate sau pierdute.
Având în vedere importanța arhivelor stocate în mediul informațional al băncii, valoarea acestora și cerințele de protecție a informațiilor bancare au crescut semnificativ.
Complexitatea menținerii securității datelor constă în faptul că băncile trebuie să asigure disponibilitatea acestor date pentru utilizatorii lor și să blocheze orice încercare de a obține informații de către străini și intruși.
Implementarea cu succes a acestei sarcini va necesita un set de măsuri menite să mențină confidențialitatea datelor, siguranța și securitatea informațiilor prelucrate, precum și accesul fără probleme la date în timpul tranzacțiilor financiare.
Pentru a înțelege ce rol joacă securitatea informațiilor în domeniul bancar, ar trebui să înțelegeți ce date bancare trebuie protejate și de ce.
Importanța securității informațiilor bancare
Datele bancare includ un set de informații care fac posibilă reprezentarea unei instituții financiare în mediul informațional, precum și date care fac posibilă efectuarea de tranzacții financiare între un client și o bancă, precum și între mai mulți clienți care utilizează o instituție bancară. ca intermediar financiar.
Există două tipuri de informații bancare - acestea sunt datele care sunt utilizate în mediul informațional pentru a reprezenta activitățile unei instituții financiare pentru clienții săi, precum și totalitatea datelor clienților instituției financiare, atât juridice, cât și fizice. .
În ciuda faptului că o informație este deschisă și a doua este închisă, ambele necesită protecție fiabilă.
După cum puteți vedea, protecția informațiilor în sistemele bancare este un aspect foarte important al activității unei instituții financiare, care ar trebui să fie întotdeauna cheia dintre lista mare de sarcini cu care se confruntă băncile.
Dintre metodele de acces neautorizat la datele bancare, următoarele sunt cele mai comune astăzi.
Având în vedere amenințările de pierdere a datelor importante enumerate mai sus, ar trebui selectate metode și mijloace de protejare a informațiilor bancare.
Majoritatea băncilor acordă destul de multă atenție nivelului de securitate fizică a informațiilor lor.
Acest proces începe cu faptul că locurile în care sunt stocate arhivele de informații și sunt instalate serverele bancare au un nivel mai ridicat de protecție împotriva pătrunderii și posibilitatea ca terți să rămână acolo.
În plus, se lucrează activ pentru recrutarea personalului care va avea acces la datele confidențiale ale băncii și ale clienților acesteia. Implementarea acestor factori reduce semnificativ probabilitatea furtului de arhivă, dar nu o elimină complet.
Copierea de rezervă a informațiilor și scrierea lor în arhive este un pas important pentru a păstra pentru dvs. datele de care aveți nevoie.
Dar pentru a exclude posibilitatea căderii lor în mâinile intrușilor, acest proces trebuie să aibă loc folosind sisteme de criptare.
Utilizarea protecției criptografice moderne va reduce la zero probabilitatea ca chiar și informațiile furate să fie folosite de cineva.
Astăzi, există multe produse software diferite care oferă criptarea datelor în momentul transferării lor în arhivă.
Întregul proces este complet automatizat și nu implică costuri semnificative pentru bancă în termeni financiari și în ceea ce privește nevoia de angajați suplimentari.
De asemenea, este important ca, în procesul de creare a unei arhive criptate, să fie utilizate stocări construite pe unități fizice, și nu pe cele virtuale.
Acest lucru garantează un alt nivel de securitate a informațiilor, deoarece stocarea virtuală este mai ușor de piratat decât cea reală.
Prevenirea scurgerilor de informații privilegiate poate fi uneori cel mai greu lucru de făcut. Protejarea acestuia cu ajutorul diverselor instrumente software este doar jumătate din soluția sarcinii. În acest caz, factorul uman joacă un rol cheie.
Prin intermediul angajaților se produce foarte des pierderea datelor importante, care afectează ulterior activitățile viitoare și curente ale băncii.
Prin urmare, selecția personalului, munca eficientă a serviciului de securitate internă, precum și utilizarea unui sistem de restricție de acces vor minimiza riscurile de pierdere a informațiilor privilegiate.
Principalele modalități de protejare a informațiilor bancare au fost discutate mai sus.
Pentru a-i garanta protecția 100%, este important să folosiți toate metodele existente în combinație.
Având în vedere că criminalitatea cibernetică s-a dezvoltat foarte puternic în ultima vreme și devine din ce în ce mai dificil să protejăm informațiile, este important ca profesioniștii din domeniul lor să se ocupe de acest proces.
Acestea vă vor ajuta să alegeți hardware-ul și software-ul potrivit, precum și să creați strategia potrivită de protecție a datelor pentru mediul dumneavoastră specific de informații bancare.
