das main / Sberbank / Verfahren zum Schutz von Informationen im Bankensystem. Informationssicherheit der Bank. Schutz vor Viren
27.07.2020

Verfahren zum Schutz von Informationen im Bankensystem. Informationssicherheit der Bank. Schutz vor Viren

Der Artikel widmet sich der Bereitstellung von Informationssicherheit in Bankeinrichtungen auf der Grundlage der inländischen regulatorischen Anforderungen an den sektoralen Standards der Bank of Russia Str BR Ibbs-1.0-2014. Einige Aspekte des Schutzes in automatisierten Bankensystemen (ABS) werden in Betracht gezogen, der Schutz personenbezogener Daten im Bankensektor, der internen Prüfung und der Selbsteinschätzung für die Einhaltung der IB-Anforderungen sowie einige Funktionen und Problemplätze, die sich auf die Informationsgeräte befinden Sicherheit in Banken.

Einführung

Es ist kein Geheimnis, dass Banken der Eckpfeiler des Kredit- und Finanzsystems des Landes und das wichtigste Finanzinstitut der modernen Gesellschaft sind. In dieser Hinsicht werden sie auf besondere Anforderungen an die Informationssicherheit auferlegt. Bis zur Entstehung von inländischen Sektorinformationssicherheitsnormen, Str BS BBS Banken verwaltete Sicherheit, basierend auf den Bestimmungen des internen regulierungsdokumente.. Nach der Annahme dieser Dokumente gibt es jedoch viele Probleme, die ihre Entscheidung erfordern. Einige Fragen, die in dem Artikel berücksichtigt, sind mit der Auflösung von "Engpässen" des IB-Bankensystems verbunden und die Anpassung der Sicherheitsrichtlinien für neue Anforderungen, die bereits verfügbar "Gepäck" im Bereich des Informationsschutzes berücksichtigt werden.

Bildung der IB Bank Russland-Standards

In Russland bis Mitte 2000er Jahre das Wort "Sicherheit"hauptsächlich mit der Steuerung verbunden "Bankrisiken" . Kontrolle von Situationen, die zu einem Kreditinstitut führen könnten, der zu einem Verlust von Kreditinstitut führen kann, oder \\ oder Abbau der Liquidität aufgrund von unerwünschten Ereignissen. Solche Kategorien wie "Informationssicherheit" oder "Informationsschutz" Es existierte grundsätzlich nicht. Nur das Bundesgesetz "auf Bankaktivitäten" ab 02.12.1990 N 395-1 FZ In Artikel 26 gab Bankgure Secrecy ein begrenztes Recht und die Fähigkeit, vertrauliche Informationen im Bankensektor zu schützen. Mehr als ein Jahrzehnt, die inländischen Rulprons erteilten am 29. Juli 2004 n 98-фз das Bundesgesetz "auf dem kommerziellen Geheimnis", das schließlich eine neue Tätigkeitsform und eine separate Kategorie von Themen wie "Informationssicherheit von Banken ".

In den seltenen Jahren sind Trends in der inländischen Bankengemeinschaft aufgetaucht, um internationale Bankstandards, insbesondere Basel II-Standard, zu erlassen. In seiner Interpretation untersuchte diese Standard-Informationssicherheit als ein operationelles Risiko und forderte im Allgemeinen Maßnahmen zur Prüfung und Kontrolle der Informationsbereich, was zu diesem Zeitpunkt eine absolute Innovation für russische Banken war. Dies war jedoch nicht ausreichend - die Entwicklung moderner Informationstechnologien und der ständige Wunsch des Vorschlags neuer Bankenprodukte auf den Markt, der auf diese Fragen mehr Aufmerksamkeit aufmerksam macht.

Die nächste evolutionäre Entwicklung der Entwicklung war 2004 mit der Veröffentlichung der ersten Ausgabe des Pakets inländischer sektoraler Standards für die Informationssicherheit von Str BH IBS. Der IT-Sicherheitsstandard wurde damals der beste sektorale Standard betrachtet, denn er stellte sich die beste Welterfahrung und -praxis an, kombiniert die Grundbestimmungen der IT-Sicherheitsmanagement-Standards (ISO 17799, 13335), reguliert die Beschreibung des Lebenszyklus der Software und Kriterien für die IT-Sicherheitsbewertung (GOST R ISO / IEC 15408-1-2-3). Das Dokument spiegelt auch die Technologien für die Beurteilung von Bedrohungen und Schwachstellen wider, einige der Bestimmungen der britischen Methodik zur Beurteilung der Cramm-Informationsrisiken (siehe Abbildung 1).

Abbildung 1. Beziehung zwischen verschiedenen Anforderungen und Standards in IT, Sicherheit und Management

Zu den wichtigsten Bestimmungen des Zentralbankstandards war es möglich, die Orientierung bei der Lösung des Problems der Insider zu beachten. Dafür gründet die Bank Russlands die Kontrolle über die Attraktivität vertraulicher Informationen innerhalb der Unternehmensumgebung. Erhebliche Aufmerksamkeit wird an externe Bedrohungen gezahlt: Die Bestimmungen des Standards erfordern von Banken, den Antivirenschutz mit regelmäßig aktualisierten Basen, Spam-Filtertools, Zugriffssteuerung zu haben, die internen Prüfungsverfahren regulieren, die Verschlüsselung zum Schutz vor unbefugtem Zugriff usw. verwenden.

Trotz all dieser offensichtlichen Vorteile war der Standard eine Empfehlungsmusik - seine Position könnte von inländischen Banken nur auf freiwilliger Basis angewendet werden. Dennoch nach den Ergebnissen der Studie der Befragten, die in der III der Interbank-Konferenz vorgelegt wurden, gab es einen klaren Trend zur Annahme dieser Dokumente als obligatorische Grundbasis für russische Banken.

Parallel zur Entwicklung der Bankstandards Mitte 2000er wurde auch der Prozess der Bildung der Inlandsgesetzgebung auf dem Gebiet der Informationssicherheit in Russland eingeschlossen. Schlüsselmoment Die Aktualisierung des Bundesgesetzes "auf Information, Informationstechnologien und Informationsschutz" vom 27. Juli 2006 N 149-FZ, die neue tatsächliche Definitionen von Informationen, Informationstechnologien und Prozessen, gesondert den Titel "Schutz der Information" gibt, ist zugewiesen. Ihm folgen getrennte Kategorie In der Praxis des Informationsschutzes markierte ich den Weg aus dem Gesetz "auf personenbezogener Daten" vom 27. Juli 2006 N 152-FZ.

Angesichts all diesen Innovationen und der Änderung der Realitäten der Gesellschaft wurden die neuen Ausgaben von STR BR EBBs veröffentlicht. Somit wurde in der dritten Ausgabe des Standards von 2008 das Dokumentenpaket erheblich überarbeitet, neue Bedingungen und Begriffe wurden erzählt, einige Sicherheitsanforderungen wurden raffiniert und detailliert; Aktualisierte Anforderungen für das Informationssicherheitsverwaltungssystem. Der Standard hat auch ein eigenes Modell von Bedrohungen und Verstärker der Informationssicherheit der BS-Organisationen des RF erworben. Nach den Anforderungen der IB in automatisierten Bankensystemen wurden neue Blöcke eingeführt, der Prozess der Bankenbezahlung und des technologischen Prozesses von Bankenregionen wurde separat geregelt, es wurde über die Verwendung von Fonds des kryptographischen Informationsschutzes gesagt.

Vor dem Hintergrund der letzten Weltveranstaltungen von 2014 und den von westlichen Ländern in Bezug auf Russland auferlegten wirtschaftlichen Sanktionen hat sich der Entwicklung und den Übergang in das nationale Zahlungskartensystem ein klarer Trend gegeben. Dementsprechend ergibt sich dementsprechend zusätzliche Anforderungen an die Zuverlässigkeit und Sicherheit solcher Systeme, die die Bedeutung der inländischen IB-Standards beinhaltet und erhöht.

Das Ergebnis aller dieser Ereignisse war die nächste Wiedergabe des Standards. Und im Juni 2014 trat ein aktualisierter Fünftel in Kraft, und während der letzte bisherige Rechnungsstelle von STR BR Ibbs - 2014. Die neue Ausgabe korrigierte die Fehler der vergangenen Themen und, was sehr wichtig ist, die Anforderungen und Empfehlungen des Str Bleis in Einklang mit dem oben beschriebenen 382-p-S. So wurde beispielsweise eine Liste der Anforderungen an die Registrierung von Vorgängen in der DBO geklärt, die Liste der geschützten Informationen wurde auf der Grundlage von P-382, einer Tabelle der Einhaltung privater Bewertungsanzeigen von hundert und Indikatoren aus dem aktuellen Version von 382-p.

Eine nicht weniger signifikante Errungenschaft war die aktuelle Base der regulatorischen Anforderungen, unter Berücksichtigung der letzten Änderungen der Rechtsvorschriften im Bereich des personenbezogenen Datenschutzes, nämlich Hinweisen auf die Regierungserregung Nr. 1119 und der Reihenfolge des FSTEC von Russland No. 21.

All dies hat eine einheitliche methodische und regulatorische Plattform gebildet, um umfassende Informationssicherheit zu gewährleisten, unter Berücksichtigung von Banking-Spezifikationen. Packung von Dokumenten Str Br Ibbs russische Banken Nachdem sie ein Sicherheitssystem aus sektoraler Sicht eingebaut, aber gleichzeitig die beste globale Praxis und Erfahrung ausländischer Kollegen aufgenommen, um die Informationssicherheit sicherzustellen.

Informationssicherheit in Banken unter Berücksichtigung der Str BR Ibbs-2014

Derzeit besteht das Bestellpaket der Bank des Russlands von Dokumenten von Str BS aus den folgenden Teilen:

  1. STR BR Ibbs-1.2-2014. "Methoden zur Beurteilung der Übereinstimmung der Informationssicherheit von Organisationen des Bankensystems der Russischen Föderation mit den Anforderungen der Str BBBS-1.0-2014 (4 Edition)";

Darüber hinaus entwickelte die Bank of Russland die folgenden Empfehlungen im Bereich der IB-Standardisierung:

  1. Rs BR Ibbs-2.0-2007. "Methodische Empfehlungen zur Infoin Übereinstimmung mit den Anforderungen des Str BH Ibbs-1,0";
  2. Rs BR Ibbs-2.1-2007. "Richtlinien zur Einhaltung der Selbstbewertung der Informationssicherheit der Organisationen des Bankensystems der Russischen Föderation mit den Anforderungen von Str BR Ibbs-1. 0 ";
  3. Rs BR Ibbs-2.2-2009. "Methoden zur Bewertung des Risikos von Informationssicherheit";
  4. Rs BR ibbs-2.5-2014. "Verwaltung von Informationssicherheitsvorfällen"

Die ersten drei Dokumente sind für alle Banken obligatorisch, die den angegebenen Standard als ihre Grundrichtlinien angenommen haben. Dokument "Allgemeines" sind die Grundlage für die Bildung aller Aktivitäten zum Schutz von Informationen. Die gesamte Struktur ist in separate Blöcke unterteilt. Sie beschreiben detailliert den Sicherheitsanforderungen, erhalten bestimmte Listen von Schutzmaßnahmen durch einen bestimmten Block. (siehe Tabelle 1)

Tabelle 1. Informationssicherheitsanforderungen

- beim Zuweisen und Verteilen von Rollen und Gewährleistung von Vertrauen in das Personal;
- in automatisierten Bankensystemen (ABS) in den Stufen des Lebenszyklus;
- beim Verwalten von Zugriffs- und Benutzerregistrierungen;
- zum Mittel des Antivirenschutzes;
- bei Verwendung der Internetressourcen;
- wenn Sie die Mittel des kryptographischen Informationsschutzes verwenden;
- in bankbezahlten technologischen Prozessen;
- Beim Umgang mit personenbezogenen Daten;
- Die Hotelüberschriften wurden Anforderungen an das Informaerteilt.

Dokument "Audit der Informationssicherheit" Das kleinste allererste, weist auf die Notwendigkeit, eine Prüfung des IB-Systems durchzuführen, und gibt auch die jährliche Selbsteinschätzung gemäß den Anforderungen des Standards an. Die Daten der endgültigen Selbsteinschätzung dienen als Grundlage für das Berichtsformular bei der Prüfung der Zentralbank und der Schlussfolgerung der Einhaltung der Sicherheit des Informationssicherheitssystems der Bank durch die offenbaren Risiken und Bedrohungen von Ib.

Und das letzte Dokument unter Berücksichtigung "Methoden zur Beurteilung der Einhaltung der IB-Anforderungen" - Dies ist ein Satz von Bewertungsmethoden und Tabellen mit den entsprechenden Feldern zum Füllen. Jedes Ereignis und jedes Ereignis und jedes Schutzmaßnahme geben einen bestimmten Gewichtswert bei der Bewertung des Gruppenanzeigers. Nach den Ergebnissen von Gruppenindikatoren wird ein kreisförmiges Diagramm der Einhaltung der Anforderung von Str BH-Ibbs gezogen (siehe Abbildung 2). Alle Werte von Gruppenindikatoren liegen im Bereich von 0 Vor 1 In dem, in dem weitere 6 Konformitätsniveaus mit dem Standard, das mit Null beginnt, zugeordnet, um das Ergebnis zu bestimmen. Die Bank of Russia empfahl die Level 4 und 5 (siehe Abbildung 2). Dementsprechend desto höher ist der Wert, desto mehr erwartete das geschützte System. In einem kreisförmigen Diagramm haben diese Sektoren eine grüne, rot kritische Pegelanzeige.

Abbildung 2. Kreiskompliance-Diagrammanforderungen von Str BR Ibbs

Was Sie sonst noch hinzufügen können - viel Aufmerksamkeit wird an den Prozessen der Informationssicherheitsverwaltung, insbesondere in Bezug auf Sie, können Sie zuordnen Zyklus-Deming.Wird von Top-Managern im Qualitätsmanagement verwendet (Abbildung 3).

Abbildung 3. Deming-Zyklus für Soci BR St. Ibbs

In der neuen Ausgabe hat die Bank of Russia die Methodik zur Beurteilung der Einhaltung der Informationssicherheit aktualisiert. Die wichtigsten Änderungen betroffenen den Bewertungsansatz:

  • alle Anforderungen sind jetzt einem von drei Klassen zugeschrieben ( dokumentation, Leistung, dokumentation und Durchführung.);
  • die Beurteilung von Gruppenindikatoren ist definiert als der arithmetische Durchschnitt (es gibt keine Gewichtungskoeffizienten von privaten Indikatoren);
  • das Konzept der Korrekturkoeffizienten, die Schätzungen in den Richtungen betreffen, und abhängig von der Anzahl voll umgesetzter Anforderungen der Norm, wird eingeführt;
  • der Wert des M9-Indikators (allgemeine Anforderungen an die personenbezogene Datenverarbeitung) wird vom allgemeinen Schema berechnet (und nicht als Minimum der Werte der eingehenden privaten Indikatoren in der vorherigen Version des Standards).

Es ist erwähnenswert, dass er viel länger geworden ist, um auf die Dokumentation von Sicherheitsverfahren in den internen Regulierungsdokumenten von Banken zu achten ist. Auch wenn das Verfahren tatsächlich nicht ausgeführt wird, sondern erstellt und dokumentiert ist, erhöht er das Ergebnis der internen Prüfung.

Im Vergleich zur letzten Bearbeitung hat sich die Anzahl der privaten Indikatoren erhöht, sowie die Gewichtswerte der Schätzungen (siehe Abbildung 4).

Abbildung 4. Änderungen in der Vergangenheit und der aktuellen Ausgabe von STR BR IBBS (nach infocontal-Management, www. KM-LTD.COM, 2014)

Es sollte über einen weiteren wichtigeren Zugabe von integrierten ABS-Schutzmechanismen gesagt werden - die Bank of Russia erteilte die Empfehlungen der "Sicherstellung der Informationssicherheit in den Stadien des Lebenszyklus automatisierter Bankensysteme" (RS BR IBBS-2.6-2014 ). " Ihre Essenz liegt in der Tatsache, dass Banken jetzt, in Bezug auf dieses Dokument, die Anforderungen an Entwickler in die Softwarefunktionalität in Bezug auf Schutzmechanismen festlegen können. Wir dürfen nicht vergessen, dass dies die Empfehlungen sind, und nicht die Anforderungen, und die Bank Russlands selbst kann nichts auferlegen, aber er ermöglicht es Ihnen, diese Empfehlungen im Namen der Bankengemeinschaft auszurufen, und dies ist bereits eine Änderung zum Besseren.

Schutz personenbezogener Daten in Banken

Vor der Freigabe der 5. Ausgabe von STR BR Ibbs-2014 basierte der Schutz personenbezogener Daten in Banken auf zwei Dokumenten: BR IBBS-2.3-2010. "Persönliche Datensicherheitsanforderungen in informationssysteme Persönliche Daten der Organisationen des Bankensystems der Russischen Föderation "und RS BR Ibbs-2.4-2010. "Das sektorale private Bedrohungsmodell für die Sicherheit personenbezogener Daten, wenn sie in den Informationssystemen personenbezogener Daten von Organisationen des Bankensystems der Russischen Föderation verarbeitet werden."

In der Praxis sah es so aus und baute später die Liste der erforderlichen Ereignisse auf ihnen auf.

Die Hauptklopfen von Spezialisten bis heute waren, dass die gegenwärtigen Anforderungen bis zur nächsten Ausgabe von STR BR Ibbs - 2014 betrieben wurden, obwohl damals die Verteidigung von PDN bereits gemäß Randnr. 1119 und der Reihenfolge von Fstec Nr. 21 errichtet wurde . In Anbetracht der Tatsache, dass Banken das akzeptierte Paket von STR BR IBBS einhalten müssen, wurden viele von ihnen nicht relevante Techniken eingesetzt und erfüllte dadurch nicht die neuen Realitäten der Sicherheit.

Mit der Veröffentlichung dieser beiden genannten regulatorischen Dokumente hat sich die Situation zum Besseren geändert - einige strikte Lizenzanforderungen wurden storniert, die Verfahren der Klassifizierung der CD, der OPN-Betreiber ist mehr Rechte zur Auswahl von Schutzmaßnahmen. Erfassungsschutzberechnung Berechnungstabelle "Der Schutzniveau" und die für sie angewandten Sicherheitsverfahren, deren Angaben in der Größenordnung von FSTEC Nr. 21 dargestellt wurden. Dies ermöglichte die Niveauunterschiede bei der Schutzart von PDNs im sektoralen Standard von die Zentralbank und die allgemeinen russischen Gesetzgebung.

Der aktualisierte Standard verfügt über einen neuen Begriff "Ressourcen-PDN", für den die Anforderungen an die Dokumentation einzelner Verfahren, die sich auf die personenbezogene Datenverarbeitung beziehen (Abschnitt 7.10) ausgebildet sind. Separat werden Probleme mit der Zerstörung personenbezogener Daten berücksichtigt: Organisationen erhalten die Möglichkeit, PDNs nicht sofort zu zerstören, sondern auf periodischer Basis, jedoch mindestens alle sechs Monate.

Roskomnadzor wurde separat Erklärungen für biometrische PDNs gemacht, wie z. B. die Fotos von Mitarbeitern, wenn solche verwendet werden, um den Check-in-Modus durchzuführen oder auf der Website des Unternehmens als öffentlich verfügbare Richtlinien auszuwählen, fallen nicht unter besonderen Schutzanforderungen.

An die Banken, die zuvor die Anforderungen an den Schutz von PD auf dem alten Standard erfüllt haben, um neue Anforderungen zu erfüllen, müssen Sie Ihre internen Regulierungsdokumenten anpassen, um sie neu zu klassifizieren und umzuleiten, und gemäß dem Sicherheitsniveau, Bestimmen Sie selbst eine neue Liste von Schutzereignissen. Ich möchte feststellen, dass nun die Banken mehr Freiheit bei der Wahl von Fonds und Schutzmethoden haben, jedoch wird die Anwendung der Informationssicherheitstools immer noch sortiert.

Informationssicherheit des nationalen Zahlungssystems

Das nationale Zahlungssystem (NPS) im Hinblick auf die neuesten Ereignisse wird in der Inlandspolitik des Staates immer riesig. Der russische Präsident Wladimir Putin unterzeichnete das Gesetz über die Gründung einer nationalen Zahlungskarte (NSPK) in Russland und gewährleistet die ununterbrochene Arbeit internationaler Zahlungssysteme. Der NPC-Betreiber wird in Form von JSC erstellt, von denen 100% der Vermögenswerte der Bank Russlands gehört. Der Zweck des Projekts ist in Infrastruktur und Informationen zur Umsetzung der Implementierung angegeben geldüberweisungen. Innerhalb Russlands konsolidieren Sie das territorial in den ländlichen Betriebszentren und Zahlungsklassenzentren.

In der Tat, vor der Veröffentlichung des Gesetzes, konnte das Geld aus "nirgendwo" erscheinen und verschwinden in "nirgendwo". Mit der Leistung des Gesetzes ändert sich die Situation, dass das NPC alle verfolgt, um alle zu verfolgen monetäre Operationen, einschließlich der Finanzierung von zweifelhaften Transaktionen und betrügerischen Operationen, die die Sicherheit der Bürger oder des Landes als Ganzes bedrohen können. Darüber hinaus ist der Abzug der Regierung nach der Regierung einen weiteren Schritt in der Bekämpfung der Bestechung.

Um die Sicherheit des NPS sicherzustellen, wurden eine ganze Freude der Teilbandgesetze freigegeben, was die grundlegende Bestimmung zum Schutz von Informationen im Zahlungssystem "vom 13.06.2012 Nr. 584 darstellt. Die Verordnung über die Anforderungen an den Anforderungen an den Informationsschutz bei der Umsetzung von Geldtransfer ... "ab 09.06.2012 Nr. 382-P) ist für die Bank verantwortlich

Mit der Aktualisierung von P-382 werden jetzt Schutztrends an die Seite verschoben:

  • anwendung von Geldautomaten und Zahlungsklemmen;
  • anwendungen von Kunststoffzahlungskarten;
  • nutzung des Internets (Remote Banking Systems (DB) und Mobile Banking Systems);
  • anforderungen an das Verfahren für die Entwicklung und Verteilung von spezialisierter Software, die für den Kunden, der vom Kunden zur Übertragung von Fonds bestimmt ist;
  • das sehr erfreut war, wodurch der Bewusstsein der Kundenwahrnehmungen über die möglichen Risiken des Erhalts des nicht autorisierten Zugriffs auf die geschützten Informationen und empfohlenen Maßnahmen zur Verringerung der sie reduziert wurde;
  • die Anforderungen an die Notwendigkeit, Geldautomaten und Zahlungsterminals zu klassifizieren, deren Ergebnisse bei der Auswahl von Schutzmaßnahmen berücksichtigt werden sollten;
  • verfahren zum Aufhängen der Zahlung der Zahlung durch den Betreiber des Betreibers zur Übertragung von Mitteln bei der Erkennung von Anzeichen von betrügerischen Maßnahmen;
  • schutzabläufe aus modernen Sicherheitsbedrohungen werden bereitgestellt, z. des Internets).
  • voraussetzung für die Verwendung von Zahlungskarten, die mit einem Mikroprozessor ausgestattet sind, seit 2015 und das Verbot der Freigabe von Karten, die nach dem 1. Januar 2015 nicht mit einem Mikroprozessor ausgestattet sind;
  • 29 neue Evaluierungsanzeigen.

Informationssicherheit von Zahlungssystemen

Eine ähnliche Situation wird mit angewendet plastikkarten. In der Weltgemeinschaft gilt der anerkannte Sicherheitsstandard als Zahlungskarten-Industrie-Datensicherheitsstandard (PCI DSS), der von der PCI-SSC-Beratung entwickelt wurde. Es umfasst solche Kartenmarken wie Visa, Mastercard, American Express, JCB und Discovery.

Der PCI-DSS-Standard beschreibt die Anforderungen an den Schutz von Daten auf den in zwölf thematischen Abschnitten gruppierenden Karteninhabern. Der Hauptfokus des PCI-DSS-Standards wird vorgenommen, um die Sicherheit der Netzwerkinfrastruktur sowie den Schutz der gespeicherten Daten auf Zahlungskarteninhabern zu gewährleisten, als die anfälligste in Bezug auf Vertraulichkeitsbedrohungen. Es sei auch darauf hingewiesen, dass der Standard die Regeln für die sichere Entwicklung, Unterstützung und den Betrieb von Zahlungssystemen, einschließlich der Verfahren für ihre Überwachung, reguliert. Eine ebenso wichtige Rolle ist der Entwicklung und Unterstützung der Basis der regulatorischen Dokumente des Informationssicherheitsverwaltungssystems.

Internationale Zahlungssysteme verpflichten die Organisationen, die den Anforderungen des Standards unterliegen, um eine regelmäßige Überprüfung der Einhaltung dieser Anforderungen zu unterziehen, die früher oder später die NSPK beeinflussen kann. Die Zertifizierung russischer Banken auf dem ausländischen PCI-DSS-Standard ging jedoch eher langsam, und heute gibt es kein Inlandsunterteil.

Die Erfüllung der Anforderungen des P-382 und des letzten redaktionellen Vorstands von US BR IBBS-2014 ist jedoch möglich, sich weitgehend auf den Durchgang der Zertifizierung auf PCI-DSS vorzubereiten, da viele seiner Bestimmungen mit den Anforderungen des inländischen Dokuments kreuzen : Anti-Virus-Sicherheit, Verschlüsselung, Filtern mit Firewalls, Unterscheidungszugriff, Verfolgung von Kommunikationssitzungen sowie Überwachung, Prüfung und Verwaltung des IB-Systems (siehe Abbildung 5).

Abbildung 5. Vergleich der Kategorien geschützter Informationen durch verschiedene Standards (gemäß dem URAL-Sicherheitssystemzentrum www.ussc.ru, 2014)

Im Gegensatz zu allen ausländischen Standards wird der russische 382-P aufgerufen, inländische Entwickler und Hersteller von Informationsschutzwerkzeugen (СZI) zu stimulieren, z. B. zum Beispiel, um die Themen des NPC zu verpflichten, die Verwendung von nichtgerechter Zugang von unberechtigtem Zugriff sicherzustellen einschließlich derjenigen in der vorgeschriebenen Weise das Compliance-Bewertungsverfahren. Gleichzeitig ist die Anwendung ausländischer Produktionslösungen eindeutig zulässig.

Darüber hinaus stärkt die Bank Russlands seine Kontrolle über die Einhaltung der etablierten Regeln. In seinem Dokument, Indikation Nr. 2831-y datiert 09.06.2012 "bei der Berichterstattung, um den Schutz von Informationen in den Zahlungssystemen sicherzustellen ..." explizit zeigt in welcher Form an, und mit welcher Häufigkeit die Fächer der Zahlungssysteme auf der Zustand der Informationssicherheit in den Zahlungssystemen.

Trotz der Beliebtheit und des weit verbreiteten PCI-DSS gibt es andere internationale Sicherheitsstandards von Fallsystemen, die auch ein wenig sagen würden. Einer von ihnen ist der PCI PA-DSS-Standard (Zahlung des Anwendungsdaten-Sicherheitsstandards). Definieren von Anwendungen für Anwendungen, die Daten auf Karteninhaber und den Prozess ihrer Entwicklung verarbeiten. Und der zweite Standard der Zahlungskarten-Industrie-PIN-Transaktionssicherheit (PCI-PTs), zuvor mit PCI PED, die sich auf Hersteller beziehen, die technische Parameter und Steuerungssystem für Geräte angeben und implementieren, die einen Satz von PIN-Code unterstützen und zur Durchführung von Zahlungstransaktionen verwendet werden.

Schlussfolgerungen

STR BR Ibbs ist ein sehr wichtiger Meilenstein des Evolutionspfads der Entwicklung des Inlandsinformationssicherheitssystems. Dies ist eine der ersten Industrie und ist für die russische Realität der Standards angepasst. Dies ist natürlich kein Panacea aus allen Schwierigkeiten, es gibt immer noch viele Probleme, an denen Spezialisten kämpfen, aber dies ist die erste und sehr erfolgreiche Erfahrung, die uns auf die Referenzen der besten ausländischen Praxis bringt.

Nach den Anforderungen des Standards bereiten sich viele Banken auf die internationale Zertifizierung vor, um die Sicherheit von PCI-DSS-Zahlungssystemen sicherzustellen. Geben Sie einen persönlichen Datenschutz gemäß den neuesten Anforderungen der Regulierungsbehörden an. Jährlich gebraucht interne Anhörung Ermöglicht das, objektiv die Sicherheit von Banken aus erheblichen Risiken und Bedrohungen von IB überprüft, und Manager sind effizienter, um den Bau und das Management eines umfassenden Schutzsystems zu planen.

Bestehende Mängel und offensichtliche Fehler, wir hoffen, dass wir in den folgenden Ausgaben korrigiert werden, deren Veröffentlichung nicht weit weg ist. Im Frühjahr 2015 warten wir auf ein aktualisiertes P-382, und die Änderungen des BR EBBS-Komplexes können folgen und folgen. Ich kann immer noch mit dem Oktober-Release "Standard des Finanzvorgangs" TC 122 zufrieden sein und nicht vergessen, dass Egal wie gut alle Bemühungen höherer Behörden gut sind, unsere Sicherheit ist immer noch in unseren Händen!

Volzhskky. staatliche Universität Bedienung

Alshanspaya Tatyana Wladimirovna, Kandidat der Pädagogikwissenschaften, assoziierter Professor, Abteilung für angewandte Informatik in der Wirtschaft, Wolga State University of Service

Anmerkung:

Dieser Artikel spiegelt den aktuellen Status der genähten Datenmethoden wider bankensektor und Aussichten für ihre Entwicklung. Der Artikel offenbart die wichtigsten Bedrohungen der Informationssicherheit von Banken. Aktivitäten zum Schutz von Informationen in einer Bank, die durchgeführt werden müssen, um ein effektives Schutzsystem zu erstellen.

Dieser Artikel spiegelt den aktuellen Stand der Methoden des Schutzes des Bankensektors und deren Entwicklungsperspektiven wider. Der Artikel deckt die Hauptbedrohungen für die Informationssicherheit von Banken ab. Präsentiert Maßnahmen zum Schutz der Informationen in der Bank, um ein wirksames Schutzsystem zu schaffen.

Stichworte:

bank; Informationssicherheit; Informationsschutz.

informationssicherheit; Informationssicherheit.

UDC 338.14.

Die Aktivitäten jeder Bank sind direkt, je nachdem, wie die Geschwindigkeit der Informationsaustausch darin ist und inwieweit das System der Informationssicherheit ist. Die Ergebnisse der nicht entwickelten Bankeninfrastruktur sind katastrophal: Die Bank kann nicht nur Kundenbasis verlieren, sondern auch ihr Vertrauen. Die Kollision mit dieser Aufgabe führte zur Bildung der neuesten Konzepte zum Schutz von Informationen, die unter den Bedingungen der Kreditinstitute entwickelt wurden. Somit ist das Studium der Informationsschutzsysteme im Bankensektor eine relevante Aufgabe.

Nach Art. 19 des Bundesgesetzes "Information, Informationstechnologie und Informationsschutz" vom 27.07.2006 Nr. 149-FZ, Informationsschutz ist die Annahme von rechtlichen, organisatorischen und technischen Maßnahmen, um Informationen aus rechtswidrigen Zugang, Zerstörung, Änderung, Blockierung zu gewährleisten , Kopieren, Bereitstellen, Vertrieb, sowie andere illegale Maßnahmen in Bezug auf solche Informationen, Einhaltung der Vertraulichkeit von Informationen des eingeschränkten Zugangs sowie der Implementierung des Rechts auf Zugriff auf Informationen.

Der Schutz der Bankdaten enthält die Umsetzung eines einzelnen Veranstaltungssatzes - von der Prüfung des Informationsschutzes und bis zur Bildung der Schutzkonzepte des Schutzes verschiedener Bankendienste. Experten dieser Kugel sind bereit, genau als unabhängiges Sicherheitsmodul und ein komplettes konzentriertes Konzept des Datenschutzsystems zu bilden.

Bei der Implementierung der Grundfunktionen des Informationsschutzdienstes entstehen Aufgaben, deren Lösung für die Formalisierung schlecht geeignet ist. In diesem Fall ist es möglich, die Methoden der Theorie der Systeme und der Systemanalyse zur Aktivierung der Intuition und Erfahrung von Spezialisten zu nutzen.

Eine der Methoden zum Schutz der Informationen der Bank besteht darin, die Passage und die Registrierung geheimerinformationen zu steuern. Das bedeutendste in diesem Problem besteht darin, extrem sichere Alternativen zum Austausch von Dateien innerhalb der Bank herzustellen.

Um die Informationen der Bank zu schützen, werden die Identifizierungskonzepte eingesetzt, die die Verfügbarkeit von Datenzugriffsrechten kennzeichnen. Verwenden Sie zu diesem Zweck das Kennwortsystem, um das lokale Netzwerk der Bank einzugeben. Sie können vom Benutzer ausgewählt werden, das vom System generiert wird, oder zuweisen sie ihm vom Sicherheitsmanager. Darüber hinaus gibt es Plastikzugriffskarten mit Chip. Mit Hilfe eines speziellen Algorithmus kodiert das System und erstellt individuelle Daten eines bestimmten Benutzers. Elektronische Tasten handeln, wenn Sie mit dem Mechanismus an den in den Geheimkänen installierten Türen in den Secret-Räumen, in Server- und Benutzer-PCs in Verbindung stehen.

Der Schutz der Informationen der Bank funktioniert nur, wenn das System externer Bedrohungen rechtzeitig bestimmt wird. In der externen Umgebung des Systems werden folgende Arten von Informationsbedrohungen getrennt, Tabelle. einer.

Tabelle 1. Arten von Informationen der Information in der externen Umgebung

Name der Bedrohung

Charakteristisch

verletzung der körperlichen Integrität

zerstörung, Zerstörung von Elementen

verletzung der logischen Integrität

zerstörung logischer Verbindungen

Änderung des Inhalts

informationsblöcke ändern, externe Auferlegung falscher Informationen

datenschutzverletzung.

verteidigungsschutz, reduziert den Grad der Informationssicherheit

verletzung des Eigentums von Informationen

nicht autorisiertes Kopieren.

Die Planung von Datenschutzsystemen für das Unternehmen sollte den Rückgang der wahrscheinlichen nachteiligen Ergebnisse erleichtern, die sich auf die Anwendung von Informationstechnologien zusammenhängen und die Möglichkeit der Umsetzung der wichtigsten Ziele und Ziele des Kreditinstituts gewährleisten. Baumodelle Bei der Gestaltung oder ein Upgrade des Datenschutzsystems in Banken sind ein natürliches Mittel zur Lösung von Problemen von Analyse und Design mit den geringsten Kosten und erheblichen Renditen. Die Banken nutzen das Modell des Informationssicherheitsschutzes, der Folgendes umfasst:

  1. Beschreibung der Informationssicherheitsverletzer;
  2. Klassifizierung von Informationssicherheitsverletzetzen;
  3. Beschreibung der Erfahrung und des Wissens der Eindringlinge;
  4. Eine Beschreibung der verfügbaren Ressourcen, die für die Umsetzung der Bedrohung erforderlich sind;
  5. Eine Beschreibung der möglichen Motivation der Aktionen des Eindringlings;
  6. Möglichkeiten, die Bedrohungen der Informationssicherheit von den angegebenen Verstößen umzusetzen.

So bauen Sie ein Überwindemodell, Informationen aus dem Sicherheitsdienst, Risikoeinheiten und den internen Kontrolldienst der Bank auf vorhandene Mittel zum Zugriff auf Informationen und Verarbeitung, auf mögliche Methoden zum Abfangen von Daten auf der Bühne der Übertragung, Verarbeitung und Lagerung, auf der Einstellung im Team und zum Schutzgegenstand, Informationen über Wettbewerber und die auf dem Markt auf dem Markt, über die Fälle von Informationen und dergleichen. .

Darüber hinaus werden die tatsächlichen operativen technischen Fähigkeiten des Täters geschätzt, um das Konzept des Schutzes oder auf das geschützte Objekt zu beeinflussen. Unter technischen Fähigkeiten wird eine Liste verschiedener technischer Weise verstanden, dass der Täter während des Betriebs von Vorgängen auf dem Informationsschutzsystem abgerufen werden kann.

Schließlich ist zu beachten, dass der effiziente Einsatz von Modellen nur mit hochwertigen Quelldaten zulässig ist, um Modelle beim Lösen von Schutzaufgaben zu beschreiben. Die Tatsache, dass die überwältigende Menge an Quelldaten ein hohes Maß an Unsicherheit hat. Aus diesem Grund ist es notwendig, die erforderlichen Daten nicht zu simulieren, sondern sie regelmäßig Beurteilung und Konkretisierung zu machen.

Bibliographische Liste:


1. ALSHANSKAYA, T. V. Antrag von Systemanalyse-Methoden von Experten für Informationssicherheit [Text] / T. V. Alshanspaya. Informationssysteme und -technologien: Management und Sicherheit: SAT. Kunst. III Internationale Korrespondenz wissenschaftlicher und praktischer Konferenz / Volga-Staat. Universität für Service. - Tolyatti: Verlag PVGUS, 2014. - 348 p.
2. Trofimova, V. V. Informationssysteme und -technologien in der Wirtschaft und des Managements [Text] / V.V. Trofimova. M.: Yurait, 2012. - 521 p.
3. Bundesgesetz "auf Informationen, Informationstechnologien und Informationsschutz" vom 22.07.2006 Nr. 149-FZ

Die Bankaktivitäten wurden immer mit der Verarbeitung und Lagerung einer großen Anzahl von vertraulichen Daten in Verbindung gebracht. Zunächst sind dies persönliche Daten zu Kunden, ihre Beiträge und alle ausgeführten Operationen.

Alle kommerziellen Informationen, die in gespeichert und verarbeitet werden kreditorganisationen.wird einer Vielzahl von Risiken ausgesetzt, die mit Viren, Misserfolg der Hardware, Betriebssystemausfälle usw. verbunden sind usw. Diese Probleme können jedoch keinen schweren Schaden zufügen. Tägliche Sicherung von Daten, ohne die die Arbeit des Informationssystems eines Unternehmens unbedenkbar ist, verringert das Risiko eines unwiderruflichen Informationsverlusts auf ein Minimum. Darüber hinaus sind Methoden zum Schutz gegen aufgelistete Bedrohungen gut konzipiert und weit konstruiert. Daher kommen die Risiken, die mit einem nicht autorisierten Zugriff auf vertrauliche Informationen (NSD) verbunden sind, in den Vordergrund.

Nicht autorisierter Zugang ist Realität.

Bisher sind drei Wege des Diebstahls von vertraulichen Informationen am häufigsten. Erster physischer Zugang zu den Speicher- und Verarbeitungsorten. Hier gibt es viele Möglichkeiten. Zum Beispiel können Angreifer nachts das Bankbüro klettern und Festplatten mit allen Datenbanken stehlen. Es ist sogar möglich, dass es ein bewaffneter Fehler ist, dessen Zweck nicht Geld ist, sondern Informationen. Die Situation ist nicht ausgeschlossen, wenn der Angestellte der Bank selbst einen Informationsberater außerhalb des Territoriums ertragen kann.

Zweitens der Einsatz von Backups. In den meisten Banken basiert das Redundanzsystem wichtiger Daten auf Streitigkeiten. Sie erfassen die erstellten Kopien für Magnetbänder, die dann an einem separaten Ort gespeichert werden. Der Zugang zu ihnen wird viel sanfter geregelt. Wenn sie transportiert und gelagert werden, können eine relativ große Anzahl von Personen Kopien von ihnen entfernen. Risiken, die mit Backup-vertraulichen Daten verbunden sind, können nicht unterschätzt werden. Zum Beispiel sind die meisten Experten zuversichtlich, dass die Datenbanken der Zentralbank der Russischen Föderation 2005 dank Kopien aus magnetischen Bändern gestohlen wurden. In der Weltpraxis gibt es viele ähnliche Vorfälle. Insbesondere im September des letzten Jahres, Chase Card Services-Mitarbeiter (Division von JPMorgan Chase & Co.), einem Lieferanten von Kreditkarten, versehentlich fünf Magnetbänder mit Backups, die Informationen über 2,6 Millionen Credit Account Inhaber Circuit City City enthielten.

Drittens ist der wahrscheinlichste Weg, um vertrauliche Informationen zu verlassen, nicht autorisierte Zugang von Bankangestellten. Wenn Sie verwendet werden, um die Rechte nur von Standardwerkzeugen von Betriebssystemen zu trennen, haben Benutzer häufig die Möglichkeit, indirekt (unter Verwendung einer bestimmten Software) die Datenbanken vollständig zu kopieren, mit denen sie arbeiten und sie aus dem Unternehmen ausführen. Manchmal tun es den Mitarbeitern es ohne böswillige Absicht, nur um mit den Informationen zu Hause zu arbeiten. Solche Aktionen sind jedoch ein großer Sicherheitsverletzung und sie können (und werden!) Der Grund für die Publizität vertraulicher Daten.

Darüber hinaus gibt es in jeder Bank eine Gruppe von Personen, die in erhöhten Berechtigungen im lokalen Netzwerk verfügen. Wir sprechen über Systemadministratoren. Zum einen ist es notwendig, dass sie offizielle Pflichten erfüllen. Andererseits haben sie jedoch die Möglichkeit, auf alle Informationen und "Check-Tracks" zuzugreifen.

Somit das Schutzsystem bank informationen Der nicht autorisierte Zugang sollte aus mindestens drei Subsystemen bestehen, von denen jeder Schutz vor der Art der Bedrohungen gewährleistet. Dies ist ein Subsystem des Schutzes gegen den physischen Zugriff auf Daten, Backup Security Subsystem und Insider-Sicherheitssubsysteme. Und es ist wünschenswert, keinen von ihnen zu vernachlässigen, da jede Bedrohung die Offenlegung vertraulicher Daten verursachen kann.

Bankengesetz nicht geschrieben?

Derzeit werden die Aktivitäten von Banken vom Bundesgesetz "auf Banken und Bankaktivitäten" geregelt. Darin wird unter anderem das Konzept des "Bankenmysteriums" eingeführt. Ihm zufolge ist jede Kreditorganisation verpflichtet, die Vertraulichkeit aller Daten auf Kundeneinlagen sicherzustellen. Für ihre Offenlegung ist es verantwortlich, einschließlich der Erstattung von Schäden aufgrund von Leckagen. Gleichzeitig werden keine Anforderungen an die Sicherheit von Bankinformationssystemen nicht dargestellt. Dies bedeutet, dass alle Entscheidungen über den Schutz von Handelsdatenbanken unabhängig voneinander angenommen werden, basierend auf der Erfahrung ihrer Spezialisten oder von Drittanbietern (z. B. Durchführung einer Prüfung der Informationssicherheit). Die einzige Empfehlung ist der Standard der Zentralbank der Russischen Föderation "Sicherstellung der Informationssicherheit von Organisationen des Bankensystems der Russischen Föderation. Allgemeines. " Er erschien erstmals 2004, und 2006 wurde eine neue Version angenommen. Bei der Erstellung und Raffination dieses Abteilungsdokuments wurden bestehende russische und internationale Standards im Bereich der Informationssicherheit verwendet.

Die Zentralbank der Russischen Föderation kann es nur anderen Banken empfehlen, kann jedoch nicht auf der obligatorischen Umsetzung bestehen. Darüber hinaus gibt es in der Regel wenig klare Anforderungen, die die Auswahl spezifischer Produkte bestimmen. Er ist definitiv wichtig, aber im Moment hat es keinen ernsthaften praktischen Wert. Zum Beispiel wird über zertifizierte Produkte darin gesagt: "... zertifizierte oder autorisierte Instrumente zum Schutz von Informationen von NSD können verwendet werden. Die entsprechende Liste fehlt.

In der Standard- und Anforderungen für kryptografische Mittel zum Schutz von Informationen in Banken aufgeführt. Und hier gibt es bereits eine mehr oder weniger klare Definition: "Ski ... sollte auf der Grundlage von Algorithmen umgesetzt werden, die nationale Standards der Russischen Föderation, den Bedingungen des Vertrags mit den Kontrahenten- und (oder) Organisationsstandards entsprechen." Bestätigen Sie die Korrespondenz des GOST 28147-89 Cryptographic Module kann durch Zertifizierung erfolgen. Wenn Sie in der Bank der Verschlüsselungssysteme verwendet werden, ist es daher wünschenswert, zertifizierte FSB der Russischen Föderationssoftware oder Hardware Cryptoprovideers anzuwenden, dh externen Modulen, die mit der Software und dem aktuellen Verschlüsselungsprozess verbunden sind.

Im Juli letztes Jahr wurde das Bundesgesetz der Russischen Föderation "auf personenbezogenen Daten" angenommen, die sich am 1. Januar 2007 in Kraft trat. Einige Experten, die mit ihm verbunden sind, die Entstehung von spezifischeren Anforderungen an Bankschutzsysteme, da Banken zu Organisationen gehören, die personenbezogene Daten verarbeiten. Das Gesetz selbst ist jedoch im Allgemeinen definitiv sehr wichtig, heute nicht in der Praxis anwendbar. Das Problem liegt in Abwesenheit von Standards zum Schutz privater Daten und Organe, die ihre Ausführung kontrollieren könnten. Das heißt, es stellt sich heraus, dass derzeit Banken bei der Auswahl von kommerziellen Informationsschutzsystemen frei sind.

Physischer Zugangsschutz

Banken zahlen traditionell auf die körperliche Sicherheit von Betriebsbüros, Eigentumspeicherzweigen usw. All dies verringert das Risiko von unberechtigter Zugriff auf kommerzielle Informationen durch physischen Zugriff. Bankenbüros und technische GebäudeWelche Gastserver, je nach Schutzgrad, unterscheiden sich in der Regel nicht von den Büros anderer Unternehmen. Um die beschriebenen Risiken zu minimieren, muss daher ein kryptographisches Schutzsystem verwendet werden.

Heute gibt es eine große Anzahl von Dienstprogrammen auf dem Markt, die Daten verschlüsseln. Die Merkmale ihrer Verarbeitung in Banken verleihen jedoch den entsprechenden zusätzlichen Anforderungen. Erstens sollte im kryptographischen Schutzsystem das Prinzip der transparenten Verschlüsselung implementiert werden. Bei der Verwendung werden Daten meistens das Repository immer nur verschlüsselt. Darüber hinaus ermöglicht Ihnen diese Technologie, regelmäßige Arbeitskosten zu minimieren. Sie müssen nicht jeden Tag entschlüsseln und verschlüsseln. Der Zugriff auf Informationen erfolgt mit einer speziellen Software, die auf dem Server installiert ist. Es entschlüsselt automatisch Informationen beim Zugriff auf ihn und verschlüsselt, bevor Sie auf die Festplatte schreiben. Diese Vorgänge werden direkt im Server-RAM durchgeführt.

Zweitens sind Bankdatenbanken sehr voluminös. Somit sollte das kryptographische Informationsschutzsystem nicht mit virtuellem Arbeiten funktionieren, jedoch mit echten Partitionen von Festplatten, RAID-Arrays und anderen Server-Informationsträgern, beispielsweise mit SAN-Speichereinrichtungen. Tatsache ist, dass Containerdateien, die an das System angeschlossen werden können, da virtuelle Festplatten nicht mit großen Datenmengen arbeiten sollen. Wenn eine virtuelle Festplatte aus einer solchen Datei große Größe hat, kann, wenn Sie auf sie gleichzeitig auf ihn zugreifen, auch mehrere Personen, eine erhebliche Reduzierung der Geschwindigkeit des Lesen- und Schreibvorgangs beobachten. Die Arbeit mehrerer Dutzend Menschen mit einer Groß-Volumen-Containerdatei kann sich in eine visuelle Qual verwandeln. Außerdem ist zu berücksichtigen, dass diese Objekte aufgrund von Viren, Dateisystemausfällen usw. dem Risiko von Schäden geraten sind, usw. Immerhin repräsentieren sie im Wesentlichen gewöhnliche Dateien, aber recht groß. Und selbst ihre kleine Änderung kann dazu führen, dass die Unmöglichkeit der Decodierung der gesamten darin enthaltenen Informationen führen kann. Beide zwingende Anforderungen schmücken den für den Produktschutz geeignete Kreis erheblich. Eigentlich heute. russischer Markt Es gibt nur wenige solcher Systeme.

Es ist nicht notwendig, die technischen Merkmale von Serversystemen des kryptographischen Informationsschutzes ausführlich in Betracht zu ziehen, da wir in einer der früheren Zahlen diese Produkte bereits verglichen haben. (Stolyarov N., Davletkhanov M. UTM-Schutz.) Aber es ist erwähnen, dass einige der Merkmale solcher Systeme festgestellt werden, dessen Anwesenheit vorzugsweise für Banken ist. Der erste ist mit der bereits erwähnten Zertifizierung des gebrauchten kryptographischen Moduls verbunden. Die entsprechende Software oder Hardware ist bereits in den meisten Banken. Daher muss das Server-Sicherheitssystem die Möglichkeit bieten, sie anzuschließen und zu verwenden. Die zweite Sonderanforderung für das Informationssicherheitssystem ist die Möglichkeit, das physische Sicherheitssystem des Büro- und / oder Serverraums zu integrieren. Dadurch können Sie Informationen vor dem nicht autorisierten Zugriff schützen, der mit Diebstahl, Hacking usw. in Verbindung gebracht wird.

Besondere Aufmerksamkeit in Banken sollte die Sicherheit der Informationen erhalten, da es tatsächlich das Geld von Kunden ist. Daher müssen im Schutzsystem besondere Möglichkeiten zur Minimierung des Risikos seines Verlusts bereitgestellt werden. Einer der bemerkenswertesten ist die Funktion, verdorbene Sektoren auf der Festplatte zu bestimmen. Darüber hinaus ist die Möglichkeit der Aufhängung und der Stornierung der Prozesse der anfänglichen Scheibenverschlüsselung, deren Entschlüsse und Rühren am wichtigsten. Dies sind ziemlich lange Verfahren, jedes Versagen, während der der volle Verlust aller Daten droht.

Ein sehr großer Einfluss auf die Risiken, die mit einem nicht autorisierten Zugang zu vertraulichen Informationen verbunden sind, hat einen menschlichen Faktor. Daher ist es wünschenswert, dass das Schutzsystem die Möglichkeit sorgt, solche Beziehungen zu reduzieren. Dies wird durch die Verwendung zuverlässiger Speicher-Tools für Verschlüsselungsschlüssel - Smartcards oder USB-Keys erreicht. Das Optimal ist der Eintrag dieser Token in das Produkt, es ermöglicht nicht nur die Optimierung der Kosten, sondern bietet auch die vollständige Kompatibilität von Software und Hardware.

Ein weiteres wichtiges Merkmal, mit dem Sie den Einfluss des menschlichen Faktors auf die Zuverlässigkeit des Schutzsystems minimieren können, ist das Quorum der Schlüssel. Seine Essenz liegt in der Division des Verschlüsselungsschlüssels in mehrere Teile, von denen jede der Verwendung eines verantwortlichen Mitarbeiters gegeben wird. Um die geschlossene Scheibe anzuschließen, ist das Vorhandensein einer bestimmten Anzahl von Teilen erforderlich. Darüber hinaus kann es weniger als die Gesamtzahl der Teilen des Schlüssels sein. Mit diesem Ansatz können Sie Daten vom Missbrauch verantwortlicher Mitarbeiter sichern und auch die notwendige Flexibilität für die Arbeit bieten.

Sicherungsschutz

Die regelmäßige Reservierung der gesamten in der Bank gespeicherten Informationen ist eine absolut notwendige Maßnahme. Sie ermöglicht es Ihnen, Verluste bei Problemen, wie etwa Schäden an Viren, Misserfolg der Hardware usw., erheblich zu reduzieren. Gleichzeitig verbessert es die Risiken, die mit einem nicht autorisierten Zugriff verbunden sind. Die Praxis zeigt, dass die Medien, auf denen Backups aufgezeichnet werden, nicht im Serverraum gespeichert werden sollte, sondern in einem anderen Raum oder sogar einem Gebäude. Wenn ein Brand oder ein weiterer schwererer Vorfall auftritt, kann unwiderruflich verloren sowohl die Daten als auch ihr Archiv sein. Sie können Sicherungskopien sicher vor der unbefugten Verwendung mit Kryptographie schützen. In diesem Fall kann der Sicherheitsbeauftragte die Key-Verschlüsselung an sich behalten, den Sicherheitsbeauftragten die Medien ruhig mit technischen Mitarbeiterarchiven übertragen.

Die Hauptkomplexität in der Organisation des kryptographischen Schutzes von Backup-Kopien ist die Notwendigkeit, die Pflichten zum Verwalten der Datenarchivierung zu trennen. So konfigurieren und implementieren Sie den Sicherungsvorgang selbst, einen Systemadministrator oder einen anderen technischen Offizier. Um dieselbe Informationsverschlüsselung zu verwalten, muss ein verantwortlicher Mitarbeiter - Sicherheitsbeauftragter sein. In diesem Fall ist es notwendig, zu verstehen, dass die Reservierung in der überwältigenden Mehrheit im Automatikmodus durchgeführt wird. Sie können dieses Problem nur durch "Einbetten" das kryptographische Schutzsystem zwischen dem Sicherungssteuerungssystem und den Geräten eingeben, die Daten aufnehmen (Streamer, DVD-Laufwerke usw.).

Somit sollten kryptographische Produkte für die Möglichkeit ihres Benutzers in Banken auch in der Lage sein, mit verschiedenen Geräten zu arbeiten, die zur Aufnahme von Backup-Kopien auf Medien verwendet werden: Fortschritte, CD- und DVD-Laufwerke, entfernbare Festplatten usw.

Heute gibt es drei Arten von Produkten, die darauf ausgelegt sind, Risiken zu minimieren, die mit einem nicht autorisierten Zugriff auf Sicherungskopien verbunden sind. Der erste umfasst spezielle Geräte. Solche Hardwarelösungen haben viele Vorteile, einschließlich zuverlässiger Informationsverschlüsselung und hohe Geschwindigkeit. Sie besitzen jedoch drei erhebliche Nachteile, die sie nicht erlauben, sie in Banken zu verwenden. Die erste: Sehr hohe Kosten (Zehntausende von Dollar). Zweitens: Mögliche Probleme mit dem Import nach Russland (Sie können nicht vergessen, dass wir über kryptografische Mittel sprechen). Der dritte Minus ist die Unfähigkeit, externe zertifizierte Kryptoprodes an sie anzuschließen. Diese Boards arbeiten nur mit in der Hardwareebene implementierten Verschlüsselungsalgorithmen.

Die zweite Gruppe von kryptographischen Schutzsystemen für Backups bilden Module, die Softwareentwickler-Software und Hardware für die Sicherung anbieten. Sie existieren für alle berühmtesten Produkte in diesem Bereich: Arcserve, Veritas Backup Exec und andere. True, und sie haben ihre eigenen Funktionen. Das Wichtigste ist die Arbeit nur mit "Ihrem" Software oder Laufwerk. Inzwischen entwickelt sich das Informationssystem der Bank ständig. Es ist möglich, dass der Austausch oder der Erweiterung des Sicherungssystems möglicherweise zusätzliche Kosten erfordern, um das Schutzsystem zu ändern. Darüber hinaus werden in den meisten Produkten dieser Gruppe alte langsame Verschlüsselungsalgorithmen (z. B. 3DES) implementiert, es gibt keine Key-Management-Tools, es besteht keine Möglichkeit, externe Kryptoprovideoren anzuschließen.

All dies zwingt die enge Aufmerksamkeit auf die kryptographischen Schutzsysteme von Backup-Kopien aus der dritten Gruppe. Es umfasst speziell entwickelte Software, Software- und Hardware- und Hardware-Produkte, die nicht von bestimmten Datenarchivierungssystemen betroffen sind. Sie unterstützen ein breites Spektrum von Informationsaufzeichnungsgeräten, mit denen sie sie in der gesamten Bank anwenden können, einschließlich aller seiner Filialen. Dies gewährleistet die Einheitlichkeit der verwendeten Anlagen und Minimierung der Betriebskosten.

Es ist wahrzunehmen, dass es sich bemerkt, dass trotz aller Vorteile ganz ein paar Produkte der dritten Gruppe auf dem Markt vertreten sind. Dies ist höchstwahrscheinlich auf das Fehlen großer Nachfrage nach den kryptographischen Schutzsystemen von Backup-Kopien zurückzuführen. Sobald das Management von Banken und anderen großen Organisationen die Realität von Risiken, die mit der Archivierung von kommerziellen Informationen verbunden sind, bewusst ist, wächst die Anzahl der Spieler in diesem Markt.

Schutz gegen Insider.

Die jüngsten Forschungen auf dem Gebiet der Informationssicherheit, wie beispielsweise der jährlichen CSI / FBI-Computerkriminalität und der Sicherheitsumfrage, hat gezeigt, dass die finanziellen Verluste von Unternehmen aus den meisten Bedrohungen aus dem Jahr abnehmen. Es gibt jedoch mehrere Risiken, von denen Verluste wachsen. Einer von ihnen ist der vorsätzliche Diebstahl von vertraulichen Informationen oder einer Verletzung der Regeln für die Behandlung von diesen Mitarbeitern, deren Zugang zu kommerziellen Daten erforderlich ist, um offizielle Aufgaben zu erfüllen. Sie werden Insider genannt.

In der überwältigenden Mehrheit der Fälle erfolgt diebstahl von vertraulichen Informationen mit Mobile Media: CD und DVDs, ZIP-Geräten und vor allem alle Arten von USB-Laufwerken. Es ist ihre Massenverteilung und führte weltweit zur Blüte des Insiders. Die Führer der meisten Banken verstehen perfekt, was sie dazu drohen können, beispielsweise die Datenbank von den personenbezogenen Daten von ihren Kunden oder insbesondere in der Verdrahtung ihrer Konten in den Händen von kriminellen Strukturen. Und sie versuchen, mit dem wahrscheinlichen Diebstahl von Informationen, die ihnen von organisatorischen Methoden zur Verfügung stehen, zu kämpfen.

Organisationsverfahren in diesem Fall sind jedoch unwirksam. Heute können Sie die Übertragung von Informationen zwischen Computern mit einem Miniatur-Flash-Laufwerk, einem Mobiltelefon, einem MP3-Player, einer Digitalkamera, organisieren ... Natürlich können Sie versuchen, all diese Geräte in das Büro zu verbieten, aber dies zuerst, Wird negativ die Beziehung zu den Mitarbeitern beeinflussen, und zweitens, um eine wirklich wirksame Kontrolle über die Menschen zu etablieren, ist immer noch sehr schwierig - die Bank ist kein "Postfach". Und sogar das Herunterfahren auf Computern Alle Geräte, mit denen Informationen auf externen Trägern (FDD- und Zip-Discs, CD- und DVD-Laufwerken usw.) aufgenommen werden können, und USB-Anschlüsse werden nicht hilfreich. Immerhin ist der erste für die Arbeit erforderlich, und der zweite ist durch verschiedene Peripheriegeräte verbunden: Drucker, Scanner usw. Und niemand kann verhindern, dass eine Person den Drucker für eine Minute deaktiviert, ein Flash-Laufwerk in den freigegebenen Port einfügen und wichtige Informationen darauf kopieren. Sie können natürlich ursprüngliche Wege finden, um zu schützen. In einer Bank versuchten beispielsweise in einer Bank, das Problem zu lösen, versucht: Eine USB-Anschlussverbindung und ein Epoxidharzkabel wurden mit dem letzten dem Computer fest gegossen. Glücklicherweise gibt es heute heute modernere, zuverlässige und flexible Überwachungsmethoden.

Das effektivste Mittel zur Minimierung der mit Insider verbundenen Risiken ist eine spezielle Software, die das dynamische Management aller Geräte und Anschlüsse des Computers übt, mit dem Informationen verwendet werden können. Das Prinzip ihrer Arbeit ist solche. Für jede Benutzergruppe oder für jeden Benutzer werden Berechtigungen auf verschiedene Ports und Geräte eingestellt. Der größte Vorteil dieser Software ist flexibel. Sie können Einschränkungen für bestimmte Arten von Geräten, ihrer Modelle und einzelnen Instanzen eingeben. Auf diese Weise können Sie sehr komplexe Richtlinien zur Zugriffsrechte umsetzen.

Einige Mitarbeiter können Sie beispielsweise ermöglichen, dass Sie Drucker und Scanner verwenden, die an USB-Anschlüsse angeschlossen sind. Alle in diesen Port eingesetzten verbleibenden Geräte bleiben unzugänglich. Wenn die Bank in der Bank verwendet wird, ein tokenbasierter Authentifizierungssystem, dann in den Einstellungen, die Sie die verwendeten Schlüssel angeben können. Dann dürfen Benutzer nur das vom Unternehmen erworbene Gerät verwenden, und alle anderen werden nutzlos sein.

Basierend auf dem Vorgang des Betriebs der oben beschriebenen Schutzsysteme kann verstanden werden, dass Momente bei der Auswahl von Programmen wichtig sind, die die dynamische Blockierung von Datensätzen und Anschlüssen des Computers implementieren. Erstens ist dies vielseitig. Das Schutzsystem sollte das gesamte Spektrum möglicher Ports und E / A-Geräte abdecken. Andernfalls bleibt das Risiko von Diebstahl von kommerziellen Informationen inakzeptabel hoch. Zweitens sollte das Folgende flexibel sein und es uns ermöglichen, Regeln mit einer großen Anzahl verschiedener Informationen zu Geräten zu erstellen: ihre Typen, Hersteller von Typen, Herstellern der Modelle, eindeutigen Zahlen, die jeweils in Beispiel usw. haben. Nun, drittens sollte Insiders-Schutzsystem in der Lage sein, das Informationssystem der Bank, insbesondere mit Active Directory, integrieren können. Andernfalls muss der Administrator oder der Offizier der Sicherheit zwei Datenbanken von Benutzern und Computern durchführen, was nicht nur unbequem ist, sondern auch die Fehlerrisiken erhöht.

Lass uns zusammenfassen

So gibt es heute Produkte auf dem Markt, mit denen jede Bank arrangieren kann zuverlässiges System Schutz von Informationen aus unbefugtem Zugriff und unangemessener Verwendung. True, wenn sie sich entscheiden, müssen Sie sehr umsichtig sein. Idealerweise sollte dies mit ihren eigenen Experten des relevanten Niveaus umgehen. Die Verwendung ausländischer Unternehmen ist erlaubt. In diesem Fall ist jedoch eine Situation möglich, wenn die Bank geschickt auf keine angemessene Software auferlegt wird, und das ist für den Unternehmenslieferant von Vorteil. Darüber hinaus ist der inländische Beratungsmarkt im Bereich der Informationssicherheit in den Kinderschuhen.

Machen Sie in der Zwischenzeit die richtige Wahl, ganz einfach. Es reicht aus, um unsere von uns aufgeführten Kriterien herzustellen und sorgfältig den Sicherheitssystemmarkt zu prüfen. Es gibt jedoch einen "Unterwasserstein", der erinnert werden muss. Im Idealfall muss das Informationssicherheitssystem der Bank vereint sein. Das heißt, alle Subsysteme sollten in das vorhandene Informationssystem integriert sein, und es ist wünschenswert, ein gemeinsames Management zu haben. Andernfalls sind zunehmende Arbeitskosten für den Verwaltungsschutz und die steigenden Risiken aufgrund von Fehlern des Managements unvermeidlich. Um alle drei heute beschriebenen Vorspannung aufzubauen, ist es daher besser, Produkte zu wählen, die von einem Entwickler ausgestellt wurden. Heute gibt es Unternehmen in Russland, die alles schaffen, um Bankinformationen aus dem unerlaubten Zugriff zu schützen.

Die Informationssicherheitsstrategie von Banken unterscheidet sich sehr von ähnlichen Strategien von anderen Unternehmen und Organisationen. Dies ist in erster Linie auf die spezifische Art der Bedrohungen zurückzuführen, sowie die öffentliche Tätigkeit von Banken, die dazu gezwungen sind, den Zugang zu Konten ausreichend zu erstellen, sind für Kunden ausreichend einfach zu bedienen.

Das übliche Unternehmen baut seine Informationssicherheit auf und führt nur aus einem engen Kreis von potenziellen Bedrohungen - hauptsächlich der Schutz von Informationen von Wettbewerbern (in russischen Realitäten ist die Hauptaufgabe, Informationen von zu schützen steuerbehörden und die kriminelle Gemeinschaft, um die Wahrscheinlichkeit eines unkontrollierbaren Wachstums von Steuerzahlungen und Raceta) zu reduzieren. Solche Informationen sind nur für einen schmalen Kreis interessierter Parteien und Organisationen interessant und ist selten flüssig, d. H. In eine Geldform montieren.

Die Informationssicherheit der Bank muss die folgenden spezifischen Faktoren berücksichtigen:

1. Aufbewahrung und Verarbeitung von Informationen in Banksystemen sind echtes Geld. Basierend auf den Computerinformationen können Zahlungen bezahlt werden, Kredite zur Eröffnung, übersetzen erhebliche Beträge. Es ist klar, dass eine illegale Manipulation mit solchen Informationen zu schweren Verlusten führen kann. Diese Funktion weist den Kreis des Kreises scharf stark auf Banken ausdehnt (im Gegensatz zum Beispiel für Industrieunternehmen, interne Informationen ist interner Informationen von geringem Interesse).

2. Informationen in Bankensystemen beeinflussen die Interessen einer großen Anzahl von Personen und Organisationen - Kunden der Bank. In der Regel ist es vertraulich, und die Bank ist dafür verantwortlich, seinen Kunden den erforderlichen Geheimhaltungsgrad zu bieten. Natürlich haben die Kunden das Recht, zu erwarten, dass die Bank sich um ihre Interessen kümmern sollte, andernfalls riskiert er seinen Ruf mit all den Folgen, die auftreten.

3. Die Wettbewerbsfähigkeit der Bank hängt davon ab, wie bequem, um mit der Bank zusammenzuarbeiten, sowie wie groß das angebotene Leistungsspektrum, einschließlich von Dienstleistungen, die sich auf den Remote-Zugriff beziehen. Daher sollte der Kunde in der Lage sein, schnell und ohne langweilige Verfahren, um sein Geld zu entsorgen. Solche einfachen Zugang zu Geld erhöht jedoch die Wahrscheinlichkeit einer kriminellen Eindringung in Bankensysteme.

4. Die Informationssicherheit der Bank (im Gegensatz zu den meisten Unternehmen) sollte auch bei Notfallsituationen eine hohe Zuverlässigkeit von Computersystemen gewährleisten, da die Bank nicht nur für seine Fonds, sondern auch für Kundengeld verantwortlich ist.

5. Die Bank speichert wichtige Informationen zu seinen Kunden, die das Angebot der möglichen Eindringlinge ausdehnt, die an Diebstahl interessiert sind, oder die Beschädigung dieser Informationen.

Verbrechen im Bankensektor haben auch ihre eigenen Eigenschaften:

    Viele im Finanzbereich begangene Verbrechen bleiben der Öffentlichkeit nicht bekannt, da Bankmanager ihre Aktionäre nicht stören wollen, sie haben Angst, ihre Organisationen neue Angriffe auszusetzen, ihren Ruf als zuverlässige Lager von Fonds zu befürchten, und, als Ergebnis, den Kunden verlieren.

    Angreifer verwenden in der Regel ihre eigenen Konten, in denen entführte Mengen übersetzt werden. Die meisten Kriminellen wissen nicht, wie man gestohlenes Geld "waschen". Die Fähigkeit, ein Verbrechen zu verpflichten, und die Fähigkeit, Geld zu bekommen, ist nicht dasselbe.

    Die meisten Computerverbrechen sind klein. Schaden von ihnen liegt im Bereich von 10.000 bis 50.000 US-Dollar.

    Erfolgreiche Computerverbrechen erfordern in der Regel eine große Anzahl von Bankvorgängen (bis zu mehreren hundert). Große Summen können jedoch über wenige Transaktionen gesendet werden.

    Die meisten Angreifer sind Angestellte. Obwohl das höchste Personal der Bank auch Verbrechen begehen kann und die Bank viel mehr Schaden angibt - solche Fälle sind Single.

    Computerverbrechen sind nicht immer High-Tech. Es reicht aus, um Daten zu fälschen, Änderungen in den Parametern des ASOIB-Mediums usw., und diese Aktionen sind sowohl für das Servicepersonal zugänglich.

    Viele Angreifer erklären ihre Handlungen durch die Tatsache, dass sie von der Bank nur mit der anschließenden Rendite in Schulden nehmen. In der Regel tritt jedoch nicht "zurück".

Die Besonderheiten des Schutzes automatisierter Systeme zur Verarbeitung von Informationen von Banken (ASOIB) sind auf die Merkmale der von ihnen gelösten Aufgaben zurückzuführen:

    ASOB wird in der Regel einen großen Strom von ständig eingehenden Anforderungen in Echtzeit gehandhabt, von denen jedes nicht für die Verarbeitung zahlreicher Ressourcen erfordert, sondern zusammen mit einem Hochleistungssystem behandelt werden.

    Die ASOIB ist gespeichert und vertrauliche Informationen werden verarbeitet, nicht für die breite Öffentlichkeit bestimmt. Seine Fälschung oder Leckage kann zu Ernst (für die Bank oder die Kunden) Folgen führen. Daher ist Asob zum Verurteilt, um relativ geschlossen zu bleiben, unter der Kontrolle der spezifischen Software arbeitet und große Aufmerksamkeit auf seine Sicherheit aufmerksam macht;

    Ein weiteres Merkmal von Asoib ist die erhöhten Anforderungen an die Zuverlässigkeit der Hard- und Software. Dadurch sind viele moderne Asoib an der sogenannten fehlertoleranten Architektur von Computern, die es ermöglicht, die kontinuierliche Verarbeitung von Informationen auch bei Bedingungen verschiedener Ausfälle und Ausfälle durchzuführen.

Sie können zwei Arten von Aufgaben auswählen, die ASOIB gelöst werden:

1. Analytisch. Dieser Typ enthält Planungsaufgaben, Kontoanalyse usw. Sie sind nicht betriebsbereit und benötigen möglicherweise lange Zeit, und ihre Ergebnisse können die Politik der Bank in Bezug auf einen bestimmten Kunden oder ein bestimmtes Projekt beeinträchtigen. Daher muss das Subsystem, mit dem analytische Aufgaben gelöst werden, sicher aus dem Haupisoliert werden. Um solche Probleme zu lösen, gibt es in der Regel keine leistungsstarken Rechenressourcen, in der Regel 10-20% der Kapazität des gesamten Systems reicht normalerweise aus. Aufgrund des möglichen Wertes der Ergebnisse muss jedoch der Schutz dauerhaft sein.

2. Lässig. Dieser Typ enthält die Aufgaben, die in der täglichen Tätigkeit gelöst wurden, zunächst Zahlungen und Anpassung von Konten. Sie bestimmen die Größe und Kapazität des Hauptsystems der Bank; Um sie zu lösen, ist es normalerweise viel mehr Ressourcen als für analytische Aufgaben erforderlich. Gleichzeitig ist der Wert der Informationen, die beim Lösen solcher Aufgaben bearbeitet wird, vorübergehend. Allmählich wird der Wert der Informationen, beispielsweise zur Durchführung von Zahlungen, nicht relevant. Natürlich hängt es von vielen Faktoren ab, irgendwie: Beträge und Zahlungszeiten, Kontonummern, zusätzliche Eigenschaften usw. Daher reicht es in der Regel aus, die Zahlung zum Zeitpunkt seiner Implementierung präzise zu schützen. In diesem Fall sollte der Schutz des Verarbeitungsvorgangs und der Endergebnisse dauerhaft sein.

Welche Maßnahmen zum Schutz von Iwerden von ausländischen Spezialisten bevorzugt? Diese Frage kann mit den Umfrageergebnissen von DataPro Information Group 1994 bei Banken und Finanzinstituten beantwortet werden:

    Formulierte Inhaben 82% der Befragten. Im Vergleich zu 1991 stieg der Prozentsatz der Organisationen mit Sicherheitsrichtlinien um 13%.

    Weitere 12% der Befragten planen, Sicherheitsrichtlinien zu entwickeln. Der folgende Trend ist eindeutig ausgesprochen: Organisationen mit einer großen Anzahl von Personal lieber eine entwickelte Sicherheitsrichtlinie in mehr alsals Organisationen mit einer kleinen Anzahl von Personal. Laut dieser Umfrage haben beispielsweise nur 66% der Organisationen, mit der Anzahl der Mitarbeiter, mit der Anzahl der Mitarbeiter von weniger als 100 Personen die Sicherheitspolitik, während für Organisationen mit der Anzahl der Mitarbeiter von mehr als 5.000 Personen den Anteil solcher Organisationen 99% beträgt.

    In 88% der Organisationen mit Ingibt es eine spezielle Division, die für die Umsetzung verantwortlich ist. In diesen Organisationen, die keine solche Einheit enthalten, werden diese Funktionen hauptsächlich mit dem Administrator des Systems (29%) auf dem Informationssystemmanager (27%) oder an den physischen Sicherheitsdienst (25%) anvertraut. Dies bedeutet, dass die Tendenz zur Verfügung steht, um Mitarbeiter zuzuteilen, die für die Computersicherheit in einer speziellen Division verantwortlich sind.

    In Bezug auf den Schutz wird besonderes Augenmerk auf den Schutz von Computernetzwerken (90%), großen Computern (82%), Rückgewinnung von Informationen nach Unfällen und Katastrophen (73%), Schutz vor Computerviren (72%), Schutz von Personal Computer (69%).

Folgende Schlussfolgerungen können über die Merkmale des Informationsschutzes in ausländischen Finanzsystemen gezogen werden:

    Die Hauptsache in der Verteidigung der Finanzorganisationen ist operativ und, wenn möglich, die vollständige Wiederherstellung von Informationen nach Unfällen und Ausfällen. Etwa 60% der Befragten von Finanzorganisationen haben einen Plan für eine solche Erholung, die jährlich in mehr als 80% von ihnen überarbeitet wird. Grundsätzlich wird der Schutz von Informationen vor der Zerstörung durch die Erstellung von Backups und ihrer externen Lagerung, der Verwendung einer ununterbrochenen Stromversorgung und der Organisation der "heißen" Hardware-Reserve erreicht.

    Das folgende Problem ist für Finanzorganisationen ebenso wichtig - dies ist die Verwaltung von Benutzerzugriff auf gespeicherte und verarbeitete Informationen. Es werden weit verbreitete verschiedene Zugriffssteuerungssysteme verwendet, die manchmal Antivirensoftware ersetzen können. Verwenden Sie hauptsächlich erworbene Zugriffskontrollsoftware. Darüber hinaus wird in den Finanzinstituten besondere Aufmerksamkeit auf solche Benutzer in das Netzwerk gezahlt. Zertifizierte Zugangskontrollen sind jedoch extrem selten (3%). Dies kann durch die Tatsache erklärt werden, dass es mit zertifizierter Software schwer zu arbeiten ist und sie extrem teuer in Betrieb sind. Dies wird dadurch erläutert, dass die Zertifizierungsparameter unter Berücksichtigung der Anforderungen an militärische Systeme entwickelt wurden.

    Zu den Unterschieden in der Organisation des Schutzes von Computernetzten in Finanzinstituten gehören die weit verbreitete Nutzung des Standards (dh angepasst, aber nicht speziell für eine bestimmte Organisation) kommerzielle Software für die Netzwerkzugriffskontrolle (82%), den Schutz der Punkteverbindung an die System durch geschaltete Linienkommunikation (69%). Am wahrscheinlichsten ist dies auf die stärkere Prävalenz der Telekommunikation in den Finanzbereichen und der Wunsch, sich gegen Außenteile zu schützen. Andere Schutzmethoden, beispielsweise die Verwendung von Antivirus, Terminal und Kanalverschlüsselung von übertragenen Daten, die Nachrichtenauthentifizierung sind ungefähr gleich und hauptsächlich (mit Ausnahme von Antivirenagenten), weniger als 50% der befragten Organisationen.

    Der physische Schutz von Räumlichkeiten, in denen sich die Computer befinden (ca. 40%), wird in den Finanzinstituten viel Aufmerksamkeit aufmerksam gemacht. Dies bedeutet, dass der Schutz des Computers vom Zugriff auf nicht autorisierte Personen nicht nur mit Hilfe von Software, sondern auch organisatorisch und technisch (Sicherheit, Codeschlösser usw.) gelöst wird.

    Die örtliche Informationsverschlüsselung wird von knapp über 20% der Finanzorganisationen verwendet. Gründe dafür sind die Komplexität der Kederverteilung, strenge Anforderungen an die Geschwindigkeit des Systems sowie die Notwendigkeit der operativen Erholung von Informationen bei Ausfällen und Ausfällen von Geräten.

    Der Schutz der Telef(4%) und der Verwendung von Computer entwickelt, unter Berücksichtigung der Anforderungen des Tempest-Standards (Schutz gegen Informationsablagerung durch elektromagnetische Emissionskanäle und -tipps sowie den Schutz von Informationen durch elektromagnetische Emissionskanäle und Tipps). Bei Regierungsorganisationen löst das Problem der Konzessinformation mit elektromagnetischen Emissionen und der Einreichung viel mehr Aufmerksamkeit.

Eine Analyse der Statistiken ermöglicht es Ihnen, eine wichtige Schlussfolgerung zu treffen: Der Schutz von Finanzorganisationen (einschließlich Banken) ist etwas anders als gewöhnliche kommerzielle und staatliche Organisationen. Folglich kann der ASOB-Schutz nicht auf dieselben technischen und organisatorischen Lösungen angewendet werden, die für Standardsituationen entwickelt wurden. Es ist unmöglich, die Systeme anderer Menschen zu kopieren - sie wurden für andere Bedingungen konzipiert.

Seit seinem Erscheinungsbild haben Banken konsequent Interesse aus der kriminellen Welt hervorgerufen. Und dieses Interesse war nicht nur mit der Lagerung in Kreditinstitutionen der Fonds verbunden, sondern auch mit der Tatsache, dass die Banken wichtige und häufig geheime Informationen über die finanziellen und wirtschaftlichen Aktivitäten vieler Menschen, Unternehmen, Organisationen und sogar ganzen Staaten konzentrierten. Derzeit ist die Bankgeheimnissekunde zusammen mit dem Staatsgeheimnis gesetzlich geschützt.

Im Zusammenhang mit universellen Informationen und der Computerisierung von Bankenaktivitäten hat sich die Bedeutung der Informationssicherheit von Banken wiederholt erhöht. In weiteren 30 Jahren waren das Objekt der Informationsangriffe Daten zu Kunden von Banken oder zu den Aktivitäten der Bank selbst. Solche Angriffe waren selten, der Kreis ihrer Kunden war sehr eng, und der Schaden könnte nur in besonderen Fällen erheblich sein. Derzeit ist infolge der weit verbreiteten Verteilung von elektronischen Zahlungen, Plastikkarten, Computernetzwerken, das Objekt von Informationsangriffen, direkt geworden geldmittel beide Banken und ihre Kunden. Ein Versuch, sich zu verschönern, kann jeder - nur das Anwesenheit eines Computers mit dem Internet verbunden. Damit dies nicht erforderlich ist, müssen Sie die Bank physisch durchdringen, können Sie "arbeiten" und Tausende von Kilometern davon.

Die von Banken bereitgestellten Dienstleistungen basieren heute hauptsächlich auf der Nutzung der elektronischen Wechselwirkung von Banken untereinander, Banken und ihren Kunden und Handelspartnern. Derzeit ist der Zugang zu Banken von verschiedenen Remote-Punkten möglich, einschließlich Home-Terminals und Servicecomputern. Diese Tatsache führt dazu, sich vom Konzept von "gesperrten Türen" abzuweiten, das in den 1960er Jahren für Banken charakteristisch war, als in den meisten Fällen im Batch-Modus in den meisten Fällen als Hilfe verwendet wurden und keine Verbindung mit der Außenwelt haben.

Computersysteme, ohne die keine moderne Bank tun kann - die Quelle völlig neuer, bisher unbekannter Bedrohungen. Die meisten von ihnen sind auf die Verwendung von bankgeschäft. Neue Informationstechnologien und sind nicht nur für Banken charakteristisch.

Das Niveau der Ausrüstung in der Automatisierung durch Automatisierung spielt eine wichtige Rolle bei den Aktivitäten der Bank und ist daher direkt in ihrer Position und dem Einkommen niedergeschlagen. Der stärkende Wettbewerb zwischen Banken führt dazu, dass die Zeit auf die Erzeugung von Berechnungen reduziert wird, eine Erhöhung der Nomenklatur und die Verbesserung der Qualität der angebotenen Dienste.

Je weniger Zeit die Berechnungen zwischen der Bank und den Kunden nehmen, desto höher ist der Uferumsatz und dessen Gewinn. Darüber hinaus reagiert die Bank schneller auf die Änderung der finanziellen Situation. Eine Vielzahl von Bankdienstleistungen (vor allem, dies bezieht sich auf die Möglichkeit von Nicht-Bargeldzahlungen zwischen der Bank und ihren Kunden mit Kunststoffkarten) kann die Anzahl seiner Kunden erheblich erhöhen und dadurch Gewinne erhöhen. Gleichzeitig wird ABS-Bank zu einem der anfälligen Orte in der gesamten Organisation, die Eindringlinge als von außen und von den Mitarbeitern der Bank selbst anzieht. Um sich zu schützen und ihre Kunden zu schützen, machen die meisten Banken die notwendigen Schutzmaßnahmen, einschließlich des Schutzes von ABS nimmt einen der wichtigsten Orte an. Schutz ABS Bank ist ein teures und komplexes Ereignis, es erfordert nicht nur wesentliche Einmalinvestitionen, sondern sorgt für die Kosten, um das Schutzsystem auf der richtigen Ebene zu unterstützen. Im Durchschnitt verbringen Banken im Moment einen ausreichenden Schutzniveau mehr als 20 Millionen US-Dollar pro Jahr.

Die Informationssicherheitsstrategie von Banken unterscheidet sich sehr von ähnlichen Strategien von anderen Unternehmen und Organisationen. Dies ist in erster Linie auf die spezifische Art der Bedrohungen zurückzuführen, sowie die öffentliche Tätigkeit von Banken, die dazu gezwungen sind, den Zugang zu Konten ausreichend zu erstellen, sind für Kunden ausreichend einfach zu bedienen.

Das übliche Unternehmen baut seine Informationssicherheit auf, erfolgt nur aus einem engen Kreis möglicher Bedrohungen - hauptsächlich der Schutz von Informationen von Wettbewerbern (in russischen Realitäten besteht darin, Informationen von Steuerbehörden und der strafrechtlichen Gemeinschaft zu schützen, um die Wahrscheinlichkeit von unkontrolliertes Wachstum von Steuerzahlungen und Racetis). Solche Informationen sind nur für einen schmalen Kreis von Stakeholdern und Organisationen interessant und ist selten flüssig, das heißt in eine Geldform.

7.2. Bankinformationssicherheitsanforderungen

Die Informationssicherheit der Bank muss die folgenden spezifischen Faktoren berücksichtigen:

  1. Die Lagerung und Verarbeitung von Informationen in Banksystemen ist echtes Geld. Basierend auf den Computerinformationen können Zahlungen bezahlt werden, Kredite zur Eröffnung, übersetzen erhebliche Beträge. Es ist klar, dass eine illegale Manipulation mit solchen Informationen zu schweren Verlusten führen kann. Diese Funktion stark erweitert den Kreis des Kreises scharf an Banken (im Gegensatz zu Industrieunternehmen, internen Informationen, deren Menschen interessiert sind).
  2. Informationen in Bankensystemen beeinflussen die Interessen einer großen Anzahl von Personen und Organisationen - Bankkunden. In der Regel ist es vertraulich, und die Bank ist dafür verantwortlich, seinen Kunden den erforderlichen Geheimhaltungsgrad zu bieten. Natürlich haben die Kunden das Recht, zu erwarten, dass die Bank sich um ihre Interessen kümmern sollte, andernfalls riskiert er seinen Ruf mit all den Folgen, die auftreten.
  3. Die Wettbewerbsfähigkeit der Bank hängt davon ab, wie bequem mit der Bank zusammenarbeiten, und wie groß das Angebot der angebotenen Dienstleistungen, einschließlich von Diensten, die sich auf den Fernzugriff bezieht. Daher sollte der Kunde in der Lage sein, schnell und ohne langweilige Verfahren, um sein Geld zu entsorgen. Solche einfachen Zugang zu Geld erhöht jedoch die Wahrscheinlichkeit einer kriminellen Eindringung in Bankensysteme.
  4. Die Informationssicherheit der Bank (im Gegensatz zu den meisten Unternehmen) sollte auch bei Notfallsituationen eine hohe Zuverlässigkeit von Computersystemen gewährleisten, da die Bank nicht nur für seine Fonds, sondern auch für Kundengeld verantwortlich ist.
  5. Die Bank hält wichtige Informationen über seine Kunden, die das Angebot der möglichen Eindringlinge ausdehnt, die an Diebstahl interessiert sind, oder Beschädigung dieser Informationen.

Verbrechen im Bankensektor haben auch ihre eigenen Eigenschaften:

  • Viele im Finanzsektor engagierten Verbrechen bleiben der Öffentlichkeit nicht bekannt, da die Köpfe der Banken ihre Aktionäre nicht stören wollen, sie haben Angst, sich ihrer Organisation an neue Angriffe zu unterziehen, ihren Ruf als zuverlässiges Lager von Geldern zu befürchten und infolgedessen den Kunden verlieren.
  • Angreifer verwenden in der Regel ihre eigenen Konten, auf die die entführten Beträge übersetzt werden. Die meisten Kriminellen wissen nicht, wie man gestohlenes Geld "waschen". Die Fähigkeit, ein Verbrechen zu verpflichten, und die Fähigkeit, Geld zu bekommen, ist nicht dasselbe.
  • Die meisten Computerverbrechen sind klein. Schaden von ihnen liegt im Bereich von 10.000 bis 50.000 US-Dollar.
  • Erfolgreiche Computerverbrechen erfordern in der Regel eine große Anzahl von Bankvorgängen (bis zu mehreren hundert). Große Summen können jedoch über wenige Transaktionen gesendet werden.
  • Die meisten Angreifer sind Mitarbeiter mit niedrigem Niveau von Banken, Angestellten. Obwohl das höchste Personal der Bank auch Verbrechen begehen kann und die Bank viel mehr Schaden angibt - solche Fälle sind Single.
  • Computerverbrechen sind nicht immer High-Tech. Es reicht aus, Daten, Änderungen in den Parametern des ABS-Mediums usw. zu fälschen, und diese Aktionen sind verfügbar und das Servicepersonal.
  • Viele Angreifer erklären ihre Handlungen durch die Tatsache, dass sie von der Bank nur mit der anschließenden Rendite in Schulden nehmen. In der Regel tritt jedoch nicht "zurück".

Die Besonderheiten des Schutzes automatisierter Systeme zur Verarbeitung von Informationen von Banken (ABS) sind auf die Merkmale der von ihnen gelösten Aufgaben zurückzuführen:

  • Der ABS handhabt einen großen Strom von ständig eingehenden Anforderungen in Echtzeit, von denen jeder nicht benötigt, um zahlreiche Ressourcen zu handhaben, aber zusammen können sie nur von einem Hochleistungssystem verarbeitet werden.
  • In ABS werden vertrauliche Informationen gespeichert und verarbeitet, nicht für die breite Öffentlichkeit bestimmt. Seine Fälschung oder Leckage kann zu Ernst (für die Bank oder die Kunden) Folgen führen. Daher sind die Bauchmuskeln verurteilt, um relativ geschlossen zu bleiben, unter der Kontrolle der spezifischen Software arbeiten und große Aufmerksamkeit auf ihre Sicherheit aufmerksam machen.
  • Ein weiteres Merkmal des ABS ist die erhöhten Anforderungen an die Zuverlässigkeit der Hard- und Software. Daher werden die meisten modernen ABS mit einer fehlertoleranten Computernetzwerkarchitektur erstellt, die die kontinuierliche Verarbeitung von Informationen auch bei Bedingungen verschiedener Ausfälle und Ausfälle ermöglicht.

Sie können zwei Arten von Aufgaben auswählen, die gelöst wurden.

  1. Analytisch. Dieser Typ umfasst die Aufgaben der Planung, Analyse von Konten usw. Sie sind nicht betriebsbereit und möglicherweise zur Lösung der Langzeitzeit erforderlich, und ihre Ergebnisse können die Richtlinien der Bank in Bezug auf einen bestimmten Kunden oder ein bestimmtes Projekt beeinträchtigen. Daher sollte das Subsystem, mit dem analytische Aufgaben gelöst werden, sicher von dem Haupisoliert werden, und zusätzlich aufgrund des möglichen Wertes der Ergebnisse muss ihr Schutz dauerhaft sein.
  2. Operativ. Dieser Typ enthält die Aufgaben, die in der täglichen Tätigkeit gelöst wurden, zunächst Zahlungen und Anpassung von Konten. Sie bestimmen die Größe und Kapazität des Hauptsystems der Bank; Um sie zu lösen, ist es normalerweise viel mehr Ressourcen als für analytische Aufgaben erforderlich. Gleichzeitig ist der Wert der Informationen, die beim Lösen solcher Aufgaben bearbeitet wird, vorübergehend. Allmählich wird der Wert der Information, beispielsweise die Durchführung einer beliebigen Zahlung, irrelevant. Natürlich hängt es von vielen Faktoren ab, irgendwie: die Beträge und Zeit der Zahlung, die Anzahl des Kontos, zusätzliche Merkmale usw., daher usw. ist es normalerweise ausreichend, um den Schutz der Zahlung zum Zeitpunkt seiner Umsetzung genau zu gewährleisten. In diesem Fall sollte der Schutz des Verarbeitungsvorgangs und der Endergebnisse dauerhaft sein.

7.3. Verfahren zum Schutz von Informationen in automatisierten Datenverarbeitungssystemen

Im Rahmen des Informationsschutzes in Informationssystemen (IP) bedeutet die regelmäßige Verwendung von Mitteln und Methoden, die Maßnahmen ergreifen, Maßnahmen ergreifen, um Maßnahmen zur systemischen Unterstützung für die erforderliche Zuverlässigkeit der gespeicherten und verarbeiteten Informationen zu unterstützen. Zuverlässigkeit der Informationen. - ein integraler Indikator, der die Qualität der Information aus der Sicht der physischen Integrität (fehlende Verzerrung oder Zerstörung von Informationen von Informationen), Vertrauen in die Information (Vertrauen in das Fehlen von Substitution) und der Sicherheit - das Mangel an nicht autorisierter Beleg kennzeichnet und kopieren.

Integrierte Informationssicherheitskomponenten:

  • organisationssicherheitsmaßnahmen;
  • sicherheitsmaßnahmen: Schutz und Schutz von Gebäuden, Räumlichkeiten, Computer, die von Dokumenten getragen werden usw.
  • sicherstellung der Sicherheit der Hardware: Sicherstellung des zuverlässigen Betriebs von Computern und Netzwerkgeräten;
  • sicherstellung der Sicherheit der Kommunikationskanäle: Schutz von Kommunikationskanälen aus äußeren Einflüssen;
  • bereitstellung von Sicherheitssoftware und mathematischer Unterstützung: Schutz vor Viren, Hackern, schädlichen Programmen, die vertrauliche Informationen tragen.

Es ist bekannt, dass 80% der Verbrechen mit Diebstahl, Schäden oder Informationsverzerrungen mit der Beteiligung der Mitarbeiter des Unternehmens begangen werden. Daher ist die wichtigste Aufgabe der Führung, die Personal- und Sicherheitsdiensteabteilung eine sorgfältige Auswahl von Mitarbeitern, der Verteilung von Befugnissen und den Bau eines Zulassungssystems an Informationen zu Informationen sowie die Kontrolle der Disziplin und des Verhaltens von Mitarbeiter, schaffen ein gutes moralisches Klima im Team.

Organisationsmittel Informationsschutz ist spezielle organisatorische und technische und rechtliche Aktivitäten, die im Prozess der Erstellung und des Betriebs eines Systems durchgeführt werden, das den Informationsschutz integriert.

Gesetzgebunginformationsschutzwerkzeuge sind als gesetzgeberische Gesetze definiert, die das Verfahren zur Verwendung und Verarbeitung von Informationen, Zugangsbeschränkungen regeln und die Verantwortung und Sanktionen zur Verstoß gegen diese Regeln festlegen.

Technische Mittel sind geteilt in physisch (Schlösser, Gitter, Signalsysteme usw.) und hardware(Schlösser, Verriegelung, Alarme und andere Geräte, die direkt auf den Mitteln der Computertechnologie und der Dateneinrichtung verwendet werden). Software Informationsschutz sind spezielle Informationsschutzwerkzeuge, die in die Systemsoftware integriert sind, und unabhängig oder in einem Komplex mit anderen Mitteln, um Informationen im System zu schützen.

Softwareinformationssicherheit Werkzeuge:

  1. Software benutzeridentifikation und ihre Befugnisse zu bestimmen.
  2. Software identifizierung von Terminals..
  3. Software dateischutz.
  4. Software betriebssystem-Schutz, Computer und Benutzerprogramme.
  5. Hilfsprogramme für verschiedene Zwecke.

Kryptographische Mittel Informationssicherheit - Spezielle Kodierungsmethoden, Verschlüsselung oder sonstige Informationsumkehrung, dadurch, dass Inhalte nicht erreichbar, ohne spezielle Informationen und umgekehrte Transformation zu präsentieren. Die Verwendung von kryptographischen Methoden ist im Zusammenhang mit der Übertragung großer Mengen an öffentlichen, militärischen, kommerziellen und privaten Informationen im offenen Netzwerk besonders relevant geworden. Aufgrund der hohen Kosten für Schäden aus Verlust, Offenlegung und Verzerrung von Informationen, die in Datenbanken gespeichert sind und über lokalen Netzwerken übertragen werden, wird empfohlen, Informationen in verschlüsselter Form zu speichern und zu übertragen.

Kryptographisches System- Familie von offenen Textkonvertierungsalgorithmen in Chiffretext.

Alphabet- Endgültige Sets, die zur Kodierung von Informationsinformationen verwendet werden. Als Beispiele für die in modernen Informationssysteme verwendeten Alphabeten können Folgendes gebracht werden:

  • alphabet Z33 - 32 Buchstaben des russischen Alphabets und des Raumes;
  • alphabet Z256 - Symbole in Standard-ASCII-Codes enthalten;
  • binäres Alphabet - Z2 \u003d (0,1).

Die Verschlüsselung beinhaltet das Umwandeln des Quelltextes mithilfe der Taste mit dem verschlüsselten Text T. Schlüssel- Austauschbares Chiffrierelement, das angelegt wird, um eine bestimmte Nachricht zu verschlüsseln. Wenn die Verschlüsselung, verwendet wird, wird das Konzept des "Chiffriergamma" verwendet - dies ist eine pseudo-zufällige numerische Sequenz, die von einem gegebenen Algorithmus erzeugt wird, um Öffnen von Daten zu verschlüsseln und Chiporogramme zu entschlüsseln.

Durch die Art der Verwendung des Schlüssels können die bekannten Kryptosysteme in zwei Typen unterteilt werden: symmetrisch (Solide, mit einem geheimen Schlüssel) und asymmetrisch(offener Schlüssel).

Im ersten Fall wird derselbe Schlüssel in dem Sender-Codierer und dem Empfängerdecodierer verwendet. Der Encoder bildet ein Chiporogramm, das die Funktion des offenen Textes ist, die spezifische Ansicht der Verschlüsselungsfunktion wird durch den geheimen Schlüssel bestimmt. Der Melde-Empfänger-Decoder führt die umgekehrte Transformation auf dieselbe Weise aus. Der geheime Schlüssel wird im Geheimen gehalten und wird vom Absender der Nachricht an den Empfänger über einen geschützten Kanal übertragen, der das Abfangen des Schlüssels der Kryption angeht.

Die Verschlüsselung erfolgt durch Substitutions- und Permutationsmethoden. Die einfachste, aber nicht entkompatible Verschlüsselung - mit dem Ersetzen von Textsymbolen auf zufällige Zeichen oder Zahlen. In diesem Fall muss die Schlüssellänge mit der Textlänge übereinstimmen, was mit großen Informationsmengen unpraktisch ist. Der Schlüssel wird einmal verwendet, dann wird es zerstört, so dass diese Methode als "Verschlüsselung mit einem Riss-Notizblock" bezeichnet wird.

In Wirklichkeit erfolgt die Verschlüsselung im Binärcode mit Kurzschlüsseln - in der internationalen Standard-DES (Datenverschlüsselungsstandard), der mit 64 Bytes 64-Datenblöcken (1998) in GOST 28147 - 89 - 256 Byte arbeitet, was eine wesentlich größere Kryptosticher bietet . Basierend auf der Kurzschlüssel erstellt der Computer einen langen Key-Gamut, der einen von mehreren in den DES-Verschlüsselungsstandards oder GOST skizzierten Algorithmen erstellt. Die Algorithmen zum Erstellen eines Gamma-Gammings basieren auf einer Reihe von Ersetzungen und Verschiebungen, es ist möglich, einen Chiffretext zu verwenden. Verschlüsselungsalgorithmen sind nicht geheim, nur Tasten sind sekret. Schlüsselschlüssel verteilen allgemeiner Gebrauch Die folgende Technologie wird angewendet: Die ersten Rangschlüssel werden über Kuriere übertragen, sie werden verschlüsselt und über ihre Netzwerke übertragen. Die zweiten Rangschlüsseln, die zum Verschlüsseln von Dokumenten verwendet werden.

Die modernsten Verschlüsselungssysteme verwenden asymmetrische Algorithmen mit offenen und geheimen Tasten, in denen kein sicherer Transport des Schlüssels vorliegt. Zu diesen Systemen gehören der RSA-Algorithmus, der von Entwicklern bezeichnet wird (Rivest-Shamir-Adleman - die Entwickler dieses Systems Ronald Rivest, Adi Shamir und Leonard Adnamoman, 1977), basierend auf der Erweiterung großer Zahlen auf Multiplikatoren.

IM asymmetrische Kryptosysteme (Geöffnete Tastenkryptosysteme) Bei den Verschlüsselungs- und Entschlüsselungsalgorithmen werden verschiedene Tasten verwendet, von denen jedes nicht von der anderen mit akzeptablen Kosten für temporäre und andere Ressourcen erhalten werden kann. Eine Taste ist geöffnet - zum Verschlüsseln von Informationen, der andere ist geheim - für die Entschlüsselung, d. H. Lesen Sie eine Nachricht kann nur eins, an den er bestimmt ist, zum Beispiel der Leiter des Unternehmens, der Nachrichten von seinen zahlreichen Agenten empfängt.

Elektronische Signatursysteme.basierend auf asymmetrischer Verschlüsselung, aber der Geheimschlüssel wird am Sender von Nachrichten gespeichert, und der offene Schlüssel, der auf der Grundlage des Geheimnisses der mathematischen Transformation erstellt wurde, viele haben. Der öffentliche Schlüssel kann mit der Nachricht übertragen werden. In diesem Fall wird jedoch die Nachricht nicht verschlüsselt, und seine Hashfunktion wird aus der Nachricht erhalten, indem sie ihn an einen bestimmten Algorithmus umwandelt und nur wenige Bytes einnimmt. Ändern Sie mindestens ein Bit im Nachrichtentext führt zu einer signifikanten Änderung der Hash-Funktion. Der Empfänger der Nachricht kann die mit der Nachricht übertragene verschlüsselte Hashfunktion entschlüsseln, eine Hashfunktion der empfangenen Nachricht mit einem bekannten Algorithmus erstellen und die entschlüsselte und neu erstellte Hash-Funktion vergleichen. Ihr Zufall garantiert die Integrität des empfangenen Dokuments, d. H. Das Fehlen von Verzerrungen darin. Der Empfänger kann nicht Änderungen an dem empfangenen Dokument vornehmen, da es keine neue Hash-Funktion verschlüsseln kann. Daher hat die elektronische Signatur die gleiche Rechtskraft wie die übliche Unterschrift und das Drucken auf Papier. Geheim- und offene Schlüssel, Programme und Ausrüstung für elektronische Signatursysteme Supply Licened FSB von Firmen, die bei Bedarf eine Kopie der Schlüssel zum Gericht einreichen können.

Es gibt zwei Hauptschutzmethoden: Software und Hardware. Eine Softwareschutzmethode ist gut, da Sie mit relativ geringen Kosten ein Programm erhalten können, das die erforderliche Zuverlässigkeit der Informationsspeicherung gewährleistet. Softwaretools verfügen jedoch über mehrere erhebliche Nachteile, die bei der Auswahl dieses Pfads bekannt sein sollten:

  • arbeiten Sie normalerweise langsamere Hardware;
  • jedes Programm kann geöffnet werden, es ist nur eine Frage der Zeit und Qualifikationen eines Spezialisten;
  • wenn die Medien unterschweifelt sind, wird das Programm entführt.

Hardware hat auch eine Reihe von Mängeln: Ihre Entwicklung ist teurer, die Kosten für Produktion und Wartung werden hinzugefügt, das Hardware-System ist komplexer und erfordert auch die Software zusätzlich zu Hardware.

Die Vorteile der Verwendung von Hardware sind jedoch offensichtlich:

  • schnelle Arbeit ohne Systemressourcen;
  • es ist unmöglich, das Hardwareprogramm ohne seine Unterschlagung einzudringen.
  • wenn Sie keine Hardware haben, können Sie die geschützten Daten nicht entschlüsseln.

7.4. Gesetzgebungsgesetze im Bereich Informationsschutz

Russland ergreift Maßnahmen, um Informationswaffen und Computerkriminalität entgegenzuwirken. In der staatlichen Duma der Russischen Föderation gibt es eine stellvertretende Gruppe "Electronic Russia", Rundtische für Informationssicherheit, um relevante Gesetze zu entwickeln. Das Gesetz der Russischen Föderation "auf Sicherheit", das Gesetz "auf elektronischer Signatur" und "auf Information, Informatisierung und Informationsschutz", die bestimmt, dass die Informationen sowohl dem Schutz als auch der Materialeigentum des Eigentümers unterliegen. Die Bereitstellung einer sicheren Übermittlung von Regierungsinformationen war zuvor in FAPSI, Nun FSB und FSO, dem Schutz kommerzieller Informationsfirmen, der eine Lizenz-FSB, beschäftigt. Ein leitendes Dokument der staatlichen Staatskommission der Russischen Föderation "Automatisierten Systeme" wurde entwickelt. Schutz vor unbefugtem Zugriff auf Informationen. Klassifizierung automatisierter Systeme und Anforderungen an den Informationsschutz »und relevante staatliche Standards:

Gost 28147-89. Informationsverarbeitungssysteme. Kryptographischer Schutz. Kryptographischer Transformationsalgorithmus;

GOST R 34. 10-94. Informationstechnologie. Kryptographischer Informationsschutz. Verfahren zur Entwicklung und Überprüfung einer elektronischen digitalen Signatur basierend auf einem asymmetrischen kryptographischen Algorithmus;

GOST R 34. 11-94. Informationstechnologie. Kryptographischer Informationsschutz. Hash-Funktion;

GOST R 50739-95. Computerausrüstung. Schutz vor unbefugtem Zugriff auf Informationen. Allgemeine technische Anforderungen.

Seit 2004 gab es einen neuen nationalen Sicherheitsstandard GOST / ISO IEC 15408 - 2002. Allgemeine Kriterien zur Bewertung der Sicherheit der Informationstechnologie.

Das Geburtsjahr des Standards kann als 1990er Jahre betrachtet werden - es sei an der Erstellung eines Standards, um die Sicherheit der Informationstechnologien (IT) unter der Schirmherrschaft der internationalen Organisation für Standardisierung (ISO) zu schaffen. Dieses Dokument wurde übersetzt und als Grundlage für die Entwicklung der Gost / ISO IEC 15408 - 2002 übersetzt. Der Name des Standards hat sich historisch entwickelt. Arbeit daran wurde mit der Unterstützung durchgeführt staatsorganisationen. Laut der Standardisierung der Vereinigten Staaten, Kanada, Großbritannien, Frankreich, Deutschland und Holland und verfolgte folgende konzeptionelle Ziele:

  • vereinheitlichung verschiedener nationaler Normen in der IT-Sicherheitsbewertung;
  • verbesserung des Vertrauens in der IT-Sicherheitsbewertung;
  • verringerung der IT-Sicherheitsbewertungskosten basierend auf der gegenseitigen Anerkennung von Zertifikaten.

Der russische Standard ist eine genaue Übersetzung internationaler Standard. Er wurde mit der Entschließung des staatlichen Norm Russlands vom 04.04.2002 Nr. 133 mit dem Datum der Umsetzung am 1. Januar 2004 angenommen. Die Entstehung dieses Gosts spiegelt nicht nur den Prozess der Verbesserung der russischen Standards mit internationaler Erfahrung wider. Aber auch ein Teil des Regierungsprogramms zum Beitritt Russlands zu der WTO (ebenso bekannt, wenn der Beitritt zu dieser Organisation verbannt ist, muss der Antragsteller einheitlich auf Pflichten, Steuern, Produktionsstandards, Qualitätsstandards und einigen Standards im Bereich der Informationssicherheit sein).

Im Rahmen des neuen Standards werden die Konzepte "Bedrohung" und "Profil" eingeführt.

Schutzprofil - "Unabhängig von der Umsetzung der Sicherheitsanforderungen für einiger Kategorie von Produktkategorien oder IT-Systemen, die spezifische Verbraucheranforderungen erfüllt."

Alle im Profil beschriebenen Sicherheitsmechanismen werden Objektsicherheitsfunktionen (FBO) bezeichnet. Das Schutzprofil umfasst nur die Sicherheitsfunktionen, die vor Bedrohungen geschützt werden müssen, und erfüllen die Sicherheitsrichtlinien.

Sicherheitsannahmen sind eine Beschreibung der spezifischen Bedingungen, in denen das System betrieben wird. Sicherheitspolitik - "ein oder mehrere Regeln, Verfahren, praktische Techniken oder Richtlinien auf dem von der Organisation in ihren Aktivitäten geleiteten Sicherheitsbereich." Im Allgemeinen ist ein solcher Regeln eine Art von Regeln eine Art Funktionalität eines Softwareprodukts, das für den Einsatz in einer bestimmten Organisation erforderlich ist.

Eine der ausgewogensten und tragfähigen Dokumente ist ein Intraindustriestandard der Bank Russlands auf IB. Seine neueste Ausgabe (2006) gibt die explizite Absicht der Zentralbank an, die Empfehlung des Dokuments für den obligatorischen Status zu ändern.

7.5. Standard zum Schutz der Information auf dem Gebiet der Bankkarten

Die Zahlungskarten-Industrie-Datensicherheitsstandard (PCI DSS) ist ein Standard zum Schutz von Informationen in der Zahlungskartenindustrie, die von internationalen Visum- und Mastercard-Zahlungssystemen entwickelt wurde.

Die Entscheidung, diesen einheitlichen Standard zu schaffen, wurde aufgrund der zunehmenden Anzahl von Unternehmen, die berichteten, dass ihre vertraulichen Informationen zu den Konten der Kunden verloren gingen oder gestohlen wurden.

Standardziele:

  • erhöhung der Sicherheit elektronischer Handels- und Zahlungssysteme;
  • sicherstellung einer sicheren Umgebung zum Speichern von Karteninhabern Daten;
  • reduzierung der Inkonsistenz in den Sicherheitsanforderungen in der Zahlungskartenindustrie;
  • modernisierung und Rationalisierung von Geschäftsprozessen und reduzierten Kosten.

Die Anforderungen des PCI-DSS-Standards werden an alle Unternehmen verteilt, die mit Visa- und Mastercard International-Zahlungssystemen arbeiten. Je nach Anzahl der Transaktionen jedes Unternehmens wird jedes Unternehmen ein bestimmtes Niveau mit einem angemessenen Satz von Anforderungen zugewiesen, die sie ausführen müssen. Im Rahmen der Anforderungen des Standards sind jährliche Prüfungen von Unternehmen sowie vierteljährliche Netzwerkscans vorgesehen.

Seit September 2006 wurde der PCI-Datensicherheitsstandardstandard des Internationalen Visa-Zahlungssystems in der Region Cemea als obligatorisch eingeführt, der seine Aktion für Russland gilt. Daher müssen Diensteanbieter (Bearbeitungszentren, Zahlungs-Gateways, Internetanbieter), die direkt von Visanet arbeitet, das Prüfungsverfahren für die Einhaltung der Anforderungen des Standards übermitteln. Andernfalls wendet VISA bestimmte Strafen an Unternehmen an.

Fragen zum Selbsttest

  1. Was ist der Hauptunterschied zwischen dem Schutz von Bankencomputersystemen vom Schutz von industriellen Computersystemen?
  2. Welche Aktivitäten können auf organisatorische Schutzmaßnahmen zurückzuführen sein?
  3. Was ist das Prinzip der "geschlossenen Türen" in Banken und warum kann es im Moment nicht effektiv angewendet werden?
  4. Welcher Schutz kann physisch zugeschrieben werden?
  5. Welche Systeme, analytisch oder betriebsbereit, erfordern sorgfältigere Schutzmethoden und warum?
  6. Was sind kryptografische Texttransformationsmethoden?
  7. Was ist der Schlüssel?
  8. Geben Sie die Definition von "Gamming" an. Warum ist es erforderlich?
  9. Was ist Codierung mit "Abreißnotizbuch" und warum ist es jetzt nicht anwendbar?
  10. Was ist die Länge des Schlüssels beim Codieren mit dem DES-Standard?
  11. Ist die Schlüssellänge auf russischen Standards von international unterschieden? Was ist sie?
    12. Name der Werkstatt Anmerkung

    Präsentationen

    Präsentationsname Anmerkung
Beliebt
Kategorien

2021.
Mamipizza.ru - Banken. Einlagen und Einlagen. Geldüberweisungen. Darlehen und Steuern. Geld und Staat