Članak je posvećen pružanju informacijske sigurnosti u bankarskim institucijama na temelju domaćih regulatornih zahtjeva sektorskih standarda Banke Rusije STR BR IBBS-1,0-2014. Razmatraju se neki aspekti zaštite u automatiziranim bankarskim sustavima (ABS), zaštitu osobnih podataka u bankarskom sektoru, unutarnju reviziju i samoprocjenu za usklađenost s IB zahtjevima, kao i neke značajke i problematičnih mjesta koja se odnose na specifičnosti informacija sigurnost u bankama.

Uvod

Nije tajna da su banke kamen temeljac kredita i financijskog sustava zemlje i najvažniji financijski institut za moderno društvo. U tom smislu, oni se nameću posebne zahtjeve za informacijsku sigurnost. Do pojave domaćih sektorskih sigurnosnih sigurnosnih standarda, STR Bbs banke su upravljale sigurnosti, na temelju odredbi unutarnje regulatorni dokumenti, No, nakon usvajanja tih dokumenata, postoje mnoga pitanja koja zahtijevaju njihovu odluku. Neka pitanja u članku su povezane s rješavanjem "uskih grla" IB bankarskog sustava i prilagođavajući se sigurnosne politike za nove zahtjeve, uzimajući u obzir već dostupnu "prtljagu" u području zaštite informacija.

Formiranje standarda IB banke Rusije

U Rusiji do sredine 2000-ih, riječ "Sigurnost"uglavnom povezani s kontrolom "Banka rizika" , Kontrola situacija koje bi mogle dovesti do gubitka kreditne institucije i degradacije svoje likvidnosti zbog početka štetnih događaja. Takve kategorije kao "Sigurnost informacija" ili "Zaštita informacija" U načelu nije postojala. Samo savezni zakon "o bankarskim aktivnostima" od 02.12.1990. N 395-1 FZ u članku 26., bankarska tajna dala je ograničeno pravo i sposobnost zaštite povjerljivih informacija u bankarskom sektoru. Više od desetljeća, domaćim vladavinama izdala je federalni zakon "o komercijalnoj tajnosti" 29. srpnja 2004. godine n 98 fz, koji je konačno, u potpunosti proglasiti novi oblik aktivnosti i zasebnu kategoriju pitanja kao što su "informacijska sigurnost od Banke ".

U istim godinama, trendovi su se pojavili u domaćoj bankarskoj zajednici da usvoje standarde međunarodnih banaka, posebno Basel II standard. U svom tumačenju, ovaj standard ispituje informacijsku sigurnost kao operativni rizik i, općenito, zahtijevao je mjere za reviziju i kontrolu informacijske sfere, što je u to vrijeme bila apsolutna inovacija za ruske banke. Međutim, to nije bilo dovoljno - razvoj modernih informacijskih tehnologija i stalnu želju prijedloga novih bankarskih proizvoda na tržištu zahtijevalo je više pozornosti tim pitanjima.

Sljedeći evolucijski razvoj razvoja bio je 2004 s izdavanjem prvog izdanja paketa domaćih sektorskih standarda za informacijsku sigurnost STR BRA IBS-a. IT sigurnosni standard smatrao se najboljim sektorskim standardom u to vrijeme, jer je zamišljao najbolje svjetsko iskustvo i praksu, kombinira osnovne odredbe standarda upravljanja sigurnošću (ISO 17799, 13335), regulira opis životni ciklus softvera i Kriteriji za procjenu IT sigurnosti (GOST R ISO / IEC 15408-1-2-3). Također, dokument odražava tehnologije za procjenu prijetnji i ranjivosti, neke od odredbi britanske metodologije za procjenu neformalnih rizika (vidi sliku 1).

Slika 1. Odnos različitih zahtjeva i standarda u IT-u, sigurnost i upravljanje

Među glavnim odredbama standarda središnje banke moguće je primijetiti orijentaciju o rješavanju problema insajdera. Za to, Banka Rusije uspostavlja kontrolu nad žalbom povjerljivih informacija u okviru korporativnog okruženja. Značajna pozornost posvećena je vanjskim prijetnjama: odredbe standarda zahtijevaju od banaka da imaju antivirusnu zaštitu s redovitom ažuriranim bazama, alati za filtriranje neželjene pošte, kontrolu pristupa, reguliraju postupke unutarnje revizije, koristeći šifriranje za zaštitu od neovlaštenog pristupa itd.

Unatoč svim ovim očiglednim prednostima, standard je bio preporuka prirode - njegova je pozicija mogla primijeniti domaće banke samo na dobrovoljnoj osnovi. Ipak, prema rezultatima proučavanja ispitanika prikazanih u III Međubankovne konferencije, došlo je do jasnog trenda donošenja tih dokumenata kao obveznu osnovnu osnovu za ruske banke.

Paralelno s razvojem bankovnih standarda sredinom 2000-ih, proces formiranja domaćeg zakonodavstva u području informacijske sigurnosti također je uključen u Rusiju. Trenutak Ažuriranje saveznog prava "o informacijama, informacijskim tehnologijama i zaštite informacija" od 27. srpnja 2006. N 149-FZ, koji daje nove stvarne definicije informacija, informacijske tehnologije i procese, zasebno naslov "Zaštita informacija" se dodjeljuje. Slijedeći ga odvojena kategorija U praksi zaštite informacija, označio sam izlaz iz zakona "o osobnim podacima" od 27. srpnja 2006. godine n 152-FZ.

S obzirom na sve ove inovacije i mijenjaju stvarnosti društva, objavljene su nova izdanja STR BR EBBS-a. Dakle, u trećem izdanju standarda 2008. godine, paket dokumenata bio je značajno prerađen, rekli su novi uvjeti i pojmovi, neki sigurnosni zahtjevi su rafinirani i detaljni; Ažurirani zahtjevi za sustav upravljanja informacijskom sigurnošću. Također, standard je stekao vlastiti model prijetnji i prekršitelja informacijske sigurnosti BS organizacija RF. Novi blokovi su uvedeni u skladu sa zahtjevima IB u automatiziranim bankarskim sustavima, reguliran je proces bankarskog plaćanja i informacijskih tehnoloških procesa, zasebno se govorilo o korištenju sredstava kriptografske zaštite informacija.

U pozadini posljednjih svjetskih događaja 2014. i ekonomskih sankcija nametnutih zapadnim zemljama u odnosu na Rusiju, došlo je do jasnog trenda razvoja i prijelaza na sustav nacionalne platne kartice. To, u skladu s tim, donosi dodatne zahtjeve za pouzdanost i sigurnost takvih sustava, što podrazumijeva i povećava važnost domaćih IB standarda.

Rezultat svih tih događaja bio je sljedeći reissue standarda. U lipnju 2014. stupio je na snagu ažuriranu petu, a dok je posljednji do danas, uredništvo STR BR IBBS-2014. Novo izdanje ispravilo je nedostatke prošlih problema i, što je vrlo važno, zahtjevi i preporuke STR-a u skladu s gore opisanim 382-p. Dakle, na primjer, popisa zahtjeva za registraciju poslovanja u DBO je razjašnjeno, popis zaštićenih informacija je proširen, na temelju P-382, tablicu sukladnosti s privatnim pokazateljima vrednovanja od stotinu i pokazatelja iz struje verzija od 382-p.

Nije manje značajno postignuće je aktualizirana baza regulatornih zahtjeva, uzimajući u obzir najnovije promjene u zakonodavstvu u području zaštite osobnih podataka, odnosno dodane reference na Uredbu Vlade br. 1119 i nalogu FSTEC-a Rusije br. 21.

Sve je to formiralo jedinstvenu metodološku i regulatornu platformu kako bi se osigurala sveobuhvatna informacijska sigurnost, uzimajući u obzir specifičnosti bankarstva. Paket dokumenata STR BR IBBS ruske banke Nakon što je u njima izgradio sigurnosni sustav s sektorskog stajališta, ali u isto vrijeme apsorbira najbolju globalnu praksu i iskustvo stranih kolega kako bi se osigurala informacijska sigurnost.

Informacijska sigurnost u bankama, uzimajući u obzir str. BR BR IBBS-2014

Trenutno, banka ruskog reda paketa dokumenata STR Bbs sastoji se od sljedećih dijelova:

1. STR BR IBBS-1,2-2014. "Metode za procjenu usklađenosti informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije sa zahtjevima Str BBBS-1,0-2014 (4 izdanje)";

Osim toga, Banka Rusije je razvila i uvela sljedeće preporuke u području standardizacije IB-a:

1. RS BR IBBS-2.0-2007. "Metodičke preporuke za dokumentaciju o sigurnosti informacija u skladu sa zahtjevima str. STRA IBBS-1,0";
2. RS BR IBBS-2.1-2007. "Smjernice za samoprocjenu usklađenost informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije sa zahtjevima STR BR IBBS-1. 0 ";
3. RS BR IBBS-2.2-2009. "Metode za procjenu rizika od informacijske sigurnosti";
4. RS BR IBBS-2,5-2014. "Upravljanje incidentima informacijske sigurnosti"

Prva tri dokumenta obvezna su za sve banke koje su usvojile navedeni standard kao svoju osnovnu politiku. Dokument "Općenito" su temelj za formiranje svih aktivnosti za zaštitu informacija. Cijela struktura je razbijena u odvojene blokove. Oni detaljno opisuju sigurnosne zahtjeve, daju specifične popise mjera zaštite određenog bloka. (vidi tablicu 1)

Tablica 1. Zahtjevi informacijske sigurnosti

- pri dodjeljivanju i distribuciji uloge i osiguravanju povjerenja u osoblje;

- u automatiziranim bankarskim sustavima (ABS) u fazama životnog ciklusa;

- prilikom upravljanja pristupom i registracijom korisnika;

- na sredstva antivirusne zaštite;

- kada koristite internetske resurse;

- kada koristite sredstva kriptografske zaštite informacija;

- u tehnološkim procesima plaćanja banaka;

- na rukovanje osobnim podacima;

- Hotelski smještaj izdane su zahtjevi za sustav upravljanja informacijskom sigurnošću.

Dokument "Revizija informacijske sigurnosti" Najmoderniji od svih, ukazuje na potrebu provođenja revizije IB sustava, a također daje upućivanje na godišnju samoprocjenu prema zahtjevima standarda. Podaci konačne samoprocjene služe kao osnova za obrazac za izvješćivanje u slučaju testiranja od strane središnje banke i sklapanjem usklađenosti s razinom sigurnosti sustava informacijske sigurnosti Banke od strane otkrivenih rizika i prijetnji Ib.

I posljednji dokument koji se razmatra "Metode za procjenu usklađenosti s IB zahtjevima" - Ovo je skup metoda procjene i tablice s odgovarajućim poljima za popunjavanje. Svaki događaj i mjera zaštite daju određenu vrijednost težine u procjeni pokazatelja grupe. Prema rezultatima grupnih pokazatelja, izvučen je kružni dijagram usklađenosti sa zahtjevom str. Bra IBBS (vidi sliku 2). Sve vrijednosti pokazatelja grupe su u rasponu od 0 prije 1 U kojoj se dodjeljuje još 6 razina poštivanja standarda s nulom kako bi se odredio rezultat. Banka Rusije preporučila je razinu 4 i 5 (vidi sliku 2). Prema tome, to je veća vrijednost, to je očekivaniji zaštićeni sustav. Na kružnom dijagramu, ovi sektori imaju zeleni, crveno-kritični pokazatelj razine.

Slika 2. Circular Chart Zahtjevi STR BR Ibbs

Što još možete dodati - dosta pozornosti se isplaćuje procesima upravljanja informacijskom sigurnošću, a posebno možete dodijeliti Cikluskoristili su ga gornji menadžeri u upravljanju kvalitetom (slika 3).

Slika 3. Ciklus ispunjavanja Soci Br St. Ibbs

U novom izdanju Banka Rusije je ažurirala metodologiju za procjenu usklađenosti informacijske sigurnosti. Glavne promjene utjecale su na pristup procjeni:

• svi zahtjevi se sada pripisuju jednom od tri klase ( dokumentiranje, izvođenje , dokumentacija i izvršenje);
• procjena pokazatelja grupe definirana je kao aritmetički prosjek (nema ponderirajućih koeficijenata privatnih pokazatelja);
• uveden je koncept korektivnih koeficijenata koji utječu na procjene u smjerovima i ovisni o broju potpuno provedenih zahtjeva standarda;
• vrijednost indikatora M9 (Opći zahtjevi za obradu osobnih podataka) izračunava se općim shemom (a ne kao minimalno vrijednosti dolaznih privatnih pokazatelja u prethodnoj verziji standarda).

Važno je napomenuti činjenicu da je postala mnogo duže obratiti pozornost na dokumentaciju sigurnosnih postupaka u unutarnjim regulatornim dokumentima banaka. Dakle, čak i ako se postupak zapravo ne izvršava, ali je osiguran i dokumentiran, povećava rezultat unutarnje revizije.

U usporedbi s posljednjem uređenjem, povećao se broj privatnih pokazatelja, kao i vrijednosti težine procjena se promijenile (vidi sliku 4).

Slika 4. Promjene u prošlosti i trenutno izdanje STR BR IBBS (prema InfoContal Management, www. Km-ltd.com, 2014)

Treba reći o još važnijeg dodavanja u ugrađenim mehanizmima za zaštitu od ABS-a - Banka Rusije izdala je preporuke o "osiguravanju sigurnosti informacija u fazama životnog ciklusa automatiziranih bankarskih sustava" (RS BR IBBS-2.6-2014 ). " Njihova suština leži u činjenici da banke sada mogu, pozivajući se na ovaj dokument, postavili zahtjeve za programere na softversku funkcionalnost u smislu mehanizama zaštite. Ne smijemo zaboraviti da su to preporuke, a ne zahtjevi, a samog Banke u Rusiji ne može ništa nametnuti, ali vam omogućuje da emitirate ove preporuke u ime bankarske zajednice, a to je već promjena za bolje.

Zaštita osobnih podataka u bankama

Prije objavljivanja 5. izdanja STR BR IBBS-2014, zaštita osobnih podataka u bankama temeljila se na dva dokumenta: BR IBBS-2.3-2010. "Zahtjevi sigurnosti osobnih podataka u informacijski sustavi Osobni podaci o organizacijama bankarskog sustava Ruske Federacije "i RS BR IBBS-2.4-2010. "Sektorski privatni model prijetnji sigurnosti osobnih podataka kada se obrađuju u informacijskim sustavima osobnih podataka o organizacijama bankarskog sustava Ruske Federacije."

U praksi, to je izgledalo ovako: oni su preuzeli privatni industrijski model prijetnji koje je predložila središnja banka, u skladu s metodološkim preporukama, utvrdili su zahtjeve za zaštitu svakog CDN-a, na temelju i broj i popis obrađenih podataka , a kasnije je izgrađen popis potrebnih događaja na njima.

Glavna glavobolja stručnjaka do danas bila je da su sadašnji zahtjevi djelovati do sljedećeg izdanja STR BR IBB-a - 2014., iako je u to vrijeme obrana PDN-a već izgrađena u skladu sa stavkom 1119. i nalog FSTEC br. 21 , S obzirom na činjenicu da banke moraju biti u skladu s prihvaćenim paketom STR BR IBB-a, mnogi od njih nisu koristili relevantne tehnike i, kao rezultat toga nisu ispunili nove stvarnosti sigurnosti.

Uz objavljivanje ove dvije navedene regulatorne dokumente, situacija se promijenila na bolje - neki strogi zahtjevi za licenciranje su otkazani, postupci klasifikacije CD-a, OPN operatora daje više prava za odabir mjera zaštite. Capture Zaštita izračuna izračuna tablicu "Razina zaštite" i sigurnosne postupke koji se primjenjuju na njih, pojedinosti koji su predstavljeni redoslijedom FSTEC br. 21. To je dopušteno na razlika u načinu zaštite PDN-a u sektorskom standardu u sektorskom standardu. središnja banka i opće rusko zakonodavstvo.

Ažurirani standard ima novi pojam "resurs PDN", za koji se formiraju zahtjevi za dokumentaciju pojedinih postupaka vezanih uz obradu osobnih podataka (odjeljak 7.10). Zasebno se razmatraju pitanja vezana uz uništavanje osobnih podataka: Organizacije se daju mogućnost da ne unište PDN-ove ne odmah, već na periodičnoj osnovi, ali barem jednom svakih šest mjeseci.

Roskomnadzor je zasebno napravio objašnjenja za biometrijske PDN-ove, kao što su fotografije zaposlenika, ako se koriste kako bi se proveli način prijave ili su izloženi na web stranici Društva kao javno dostupne smjernice, ne spadaju pod posebne zahtjeve zaštite.

Za banke koje su prethodno ispunile uvjete za zaštitu PD-a na starom standardu, kako biste ispunili nove zahtjeve, morate prilagoditi svoje interne regulatorne dokumente, ponovno klasificirati i preusmjeriti ga i, u skladu s razinom sigurnosti, Odredite za sebe novi popis zaštitnih događaja. Želio bih da sada banke imaju više slobode u izboru sredstava i metoda zaštite, međutim, primjena alata informacijske sigurnosti je još uvijek sortirana.

Informacijska sigurnost nacionalnog platnog sustava

Nacionalni platni sustav (NPS), s obzirom na najnovije događaje, postaje sve prioritetniji smjer u domaćoj politici države. Ruski predsjednik Vladimir Putin potpisao je Zakon o osnivanju nacionalne platne kartice (NSPK) u Rusiji i osiguravanje neprekidnog rada međunarodnih platnih sustava. NPC operator je stvoren u obliku JSC-a, 100% od sredstava pripada Banci Rusije. Svrha projekta je naznačena infrastruktura i informacije o provedbi provedbe novčani transferi Unutar Rusije, konsolidira teritorijalno unutar poslovnih centara i centara za plaćanje plaćanja.

Zapravo, prije objavljivanja zakona, novac se može pojaviti od "nigdje" i nestati u "nigdje". Uz izlaz zakona, situacija se mijenja, NPC omogućuje praćenje svih monetarne operacije, uključujući financiranje sumnjivih transakcija i lažnih operacija koje mogu ugroziti sigurnost građana ili zemlje u cjelini. Osim toga, odlazak vlade, prema vladi, još je jedan korak u borbi protiv podmićivanja.

Kako bi se osigurala sigurnost NPS-a, objavljena je cjelokupno zadovoljstvo od subband zakona, koje su temeljne odredbe o zaštiti informacija u platnom sustavu "od 13.06.2012. No. 584. Međutim, Uredba o zahtjevima za osiguranje zaštite informacija u provedbi prijenosa novca ... "od 09.06.2012. Broj 382-P) odgovoran je za banku

Uz ažuriranje P-382, trendovi zaštite sada se prebacuju u stranu:

• primjena bankomata i priključaka plaćanja;
• aplikacije plastičnih platnih kartica;
• korištenje Interneta (udaljeni bankovni sustavi (DB) i sustavi mobilnog bankarstva);
• zahtjevi za postupak razvoja i distribucije specijaliziranog softvera namijenjenog za korištenje od strane klijenta pri prijenosu sredstava;
• Što je bilo vrlo zadovoljno, širi zahtjeve svijesti o kupcu o mogućim rizicima od primanja neovlaštenog pristupa zaštićenim informacijama i preporučenim mjerama za njihovo smanjenje;
• zahtjeve za potrebu za razvrstavanjem bankomata i priključaka plaćanja, čiji se rezultati trebaju uzeti u obzir pri odabiru mjera zaštite;
• postupke za obustavljanje plaćanja od strane Operatora za prijenos sredstava u slučaju otkrivanja znakova lažnih akcija;
• osigurani su postupci zaštite od suvremenih sigurnosnih prijetnji, kao što su: skimming (pomoću specijaliziranih sredstava koja ometaju neovlašteno čitanje platnih kartica; zaštita usluga smještenih na internetu iz vanjskih napada (dos-napada); zaštita od krađe identiteta (od falsificiranih obiteljskih resursa Interneta).
• zahtjev za korištenje platnih kartica opremljenih mikroprocesorom, od 2015. godine i zabrane objavljivanja kartica koje nisu opremljene mikroprocesorom, nakon 1. siječnja 2015. godine;
• 29 novih pokazatelja evaluacije.

Informacijska sigurnost platnih sustava

Primjenjuje se slična situacija plastične kartice, U Svjetskoj zajednici, priznati sigurnosni standard smatra se sigurnosnim standardom podataka o industriji platne kartice (PCI DSS), koji je razvio PCI SSC savjet. Uključuje takve marke kartice kao što su Visa, MasterCard, American Express, JCB i otkriće.

Standard PCI DSS opisuje zahtjeve za zaštitu podataka o vlasnicima kartica grupiranih u dvanaest tematskih odjeljaka. Glavni fokus u PCI DSS standardu je napravljen kako bi se osigurala sigurnost mrežne infrastrukture i zaštitu pohranjenih podataka o vlasnicima platnih kartica, kao najranjivije u smislu prijetnji povjerljivosti. Također treba napomenuti da je standard regulira pravila za siguran razvoj, podršku i rad platnih sustava, uključujući postupke za njihovo praćenje. Jednako važna uloga je razvoj i podrška bazi regulatornih dokumenata sustava upravljanja informacijskom sigurnošću.

Međunarodni sustavi plaćanja obvezuju organizacije da budu podložne zahtjevima standarda, kako bi se prožimalo redovitom provjeru sukladnosti s tim zahtjevima, koji prije ili kasnije mogu utjecati na NPPK. Međutim, certifikacija ruskih banaka na stranom PCI DSS standardu otišla je prilično polako, a danas nema domaćeg kolege.

Međutim, ispunjavanje zahtjeva P-382 i posljednjeg uredništva SAD-a BR IBB-a-2014, moguće je u velikoj mjeri pripremiti za prolaz certifikata o PCI DSS-u, jer se mnoge od njegovih odredbi presijecaju sa zahtjevima domaćeg dokumenta : Anti-virus sigurnost, šifriranje, filtriranje s vatrozidima, pristup razlike, praćenje komunikacijskih sesija, kao i praćenje, revizija i upravljanje IB sustavom (vidi sliku 5).

Slika 5. Usporedba kategorija zaštićenih informacija po različitim standardima (prema središtu sigurnosnog sustava Ural, www.usssc.ru, 2014)

Za razliku od svih vanjskih standarda, ruski 382-P je pozvan do stimuliranja domaćih developera i proizvođača alata za zaštitu informacija (SZZ), primjerice, na primjer, obvezujuće subjekte NPC-a kako bi se osiguralo korištenje neagitacijskog pristupa od neovlaštenog pristupa , uključujući i one na propisani način postupka ocjenjivanja usklađenosti. U isto vrijeme, primjena inozemnih proizvodnih rješenja je jasno dopuštena.

Štoviše, Banka Rusije jača svoju kontrolu nad sukladno utvrđenim pravilima. U svom dokumentu, naznaka br. 2831-y datuma 09.06.2012. stanje informacijske sigurnosti u platnim sustavima.

Unatoč popularnosti i široko rasprostranjenim PCI DSS-u postoje i drugi međunarodni sigurnosni standardi sustava koji bi također željeli malo reći. Jedan od njih je standard PCI PA-DSS (plaćanje standarda za sigurnost podataka). Definiranje aplikacija za obradu aplikacija na karticama kartica i proces njihovog razvoja. I, drugi standard platnih kartica industrije PIN-a PIN-a za transakcijske sigurnosti (PCI PTS), prethodno PCI ped odnose se na proizvođače koji određuju i provode tehničke parametre i kontrolni sustav za uređaje koji podržavaju skup PIN koda i koristi za obavljanje platnih transakcija.

zaključci

STR BR IBBS je vrlo važna prekretnica evolucijskog puta razvoja domaćeg informacijskog sustava sigurnosti. Ovo je jedna od prvih industrija i prilagođena za rusku stvarnost standarda. Naravno, to nije panacea iz svih nevolja, još uvijek ima mnogo problema koje su stručnjaci borbe, ali to je prvo i vrlo uspješno iskustvo donoseći nas na reference na najbolju stranu praksu.

Nakon zahtjeva standarda, mnoge se banke pripremaju na međunarodnu certifikaciju za osiguranje sigurnosti PCI DSS platnih sustava. Osigurati osobne podatke zaštite u skladu s najnovijim zahtjevima regulatora. Posjedovati godišnje unutarnja revizija Omogućuje vam da objektivno provjerite sigurnost banaka od značajnih rizika i prijetnji IB-a, a menadžeri su učinkovitiji za planiranje izgradnje i upravljanja sveobuhvatnom sustavom zaštite.

Postojeći nedostaci i očigledne pogreške, nadamo se da će biti ispravljeno u sljedećim izdanjima, čije izdanje nije daleko. U proljeće 2015. godine čekamo ažurirani P-382, a promjene u kompleksu Br Ebbs mogu pratiti i slijediti. Još uvijek mogu biti zadovoljni s listopadskim otpuštanjem "Standard financijskih operacija" TC 122 i ne zaboravite da bez obzira na to koliko su dobri svi napori većih vlasti dobri, naša sigurnost je još uvijek u našim rukama!

Volzhsky državno sveučilište Servis

Alshanskaya Tatyana Vladimirovna, kandidat pedagoških znanosti, izvanredni profesor, Odjel za primijenjene informatike u ekonomiji, Volga State University Usluga

Oznaka:

Ovaj članak odražava trenutno stanje metoda informacija ušivenih bankarski sektor i izglede za njegov razvoj. Članak otkriva glavne prijetnje informacijskoj sigurnosti banaka. Aktivnosti za zaštitu informacija u banci koja se mora provoditi za stvaranje učinkovitog sustava zaštite.

Ovaj članak odražava trenutno stanje metoda zaštite informiranja o bankarskom sektoru i njegovim razvojnim izgledima. Članak obuhvaća glavne prijetnje informacijskoj sigurnosti banaka. Prikazuje mjere za zaštitu informacija u Banci, koje će se provoditi za stvaranje učinkovitog sustava zaštite.

Ključne riječi:

banka; Sigurnost informacija; zaštita informacija.

sigurnost informacija; Sigurnost informacija.

UDC 338.14

Sve aktivnosti banke izravno ovise o tome kako je brzina razmjena informacija unutar nje i u kojoj mjeri je sustav informacijske sigurnosti. Rezultati nerazvijene bankarske infrastrukture su katastrofalni: Banka je u stanju izgubiti ne samo osnove kupaca, nego i njihovo povjerenje. Sudar s ovim zadatkom doveo je do formiranja najnovijih koncepata za zaštitu informacija, koje su razvijene u uvjetima kreditnih institucija. Stoga je proučavanje sustava zaštite informacija u bankarskom sektoru relevantan zadatak.

Prema čl. 19 Saveznog zakona "O informacijama, informacijskoj tehnologiji i zaštiti informacija" od 27.07.2006 br. 149-FZ, zaštita informacija je usvajanje pravnih, organizacijskih i tehničkih mjera usmjerenih na osiguravanje informacija od nezakonitog pristupa, uništenja, blokiranja , Kopiranje, pružanje, distribuciju, kao i druge nezakonite radnje u vezi s takvim informacijama, sukladnost s povjerljivošću informacija o ograničenom pristupu, kao i provedbu prava na pristup informacijama.

Zaštita bankarskih podataka sadrži provedbu jednog skupa događanja - od revizije zaštite informacija i do formiranja koncepata zaštite različitih bankarskih usluga. Stručnjaci ove sfere spremni su formirati točno kao neovisni sigurnosni modul i potpuni koncentrirani koncept sustava zaštite podataka.

U procesu provedbe osnovnih funkcija usluge zaštite informacija, nastaju zadaci, rješenje koja je slabo podložna formalizaciji. U tom slučaju moguće je upotrijebiti metode teorije sustava i analize sustava s ciljem aktiviranja intuicije i iskustva stručnjaka.

Jedan od načina zaštite informacija banke je kontrolirati prolaz i registraciju tajnih informacija. Najznačajniji u ovom problemu je utvrditi iznimno sigurne alternative razmjeni datoteka unutar Banke.

Kako bi se zaštitili informacije Banke, koriste se koncepti identifikacije, karakterizirajući dostupnost prava pristupa podacima. U tu svrhu koristite sustav lozinkom za ulazak u lokalnu mrežu Banke. Oni se mogu odabrati korisnik, generiran od strane sustava ili ih dodijeliti od strane upravitelja sigurnosti. Osim toga, postoje plastične pristupne kartice s čipom. Uz pomoć posebnog algoritma, sustav kodira i čini pojedinačne podatke određenog korisnika. Elektronski ključevi djeluju kada kontakt s mehanizmom na vratima instaliranim u tajnim sobama, u poslužitelju i korisničkim računalima.

Zaštita informacija Banke će raditi pouzdano samo kada je sustav vanjskih prijetnji pravovremeno određen. U vanjskom okruženju sustava, sljedeće vrste prijetnji informacija su odvojene, tablica. jedan.

Tablica 1. Vrste prijetnji informacija u vanjskom okruženju

	Ime prijetnje	Karakterističan
	povreda fizičkog integriteta	uništavanje, uništavanje elemenata
	povreda logičkog integriteta	uništenje logičkih veza
	modifikacija sadržaja	promjena informacija o informacijama, vanjsko nametanje lažnih informacija
	kršenje privatnosti	zaštita odbrane, smanjenje stupnja sigurnosti informacija
	povreda vlasništva nad informacijama	neovlašteno kopiranje

Planiranje sustava zaštite podataka za Društvo trebalo bi olakšati smanjenje vjerojatnih štetnih rezultata vezanih uz primjenu informacijskih tehnologija i jamčiti mogućnost provedbe ključnih ciljeva i ciljeva kreditne institucije. Građevinski modeli pri projektiranju ili nadogradnji sustava zaštite podataka u bankama je prirodno sredstvo rješavanja problema analize i dizajna s najmanjim troškovima i značajnim prinosom. Banke koriste model prekršitelja informacijske sigurnosti koji uključuje:

1. Opis prekršitelja informacijske sigurnosti;
2. Klasifikacija prekršitelja informacijske sigurnosti;
3. Opis iskustva i poznavanja uljeza;
4. Opis dostupnih resursa potrebnih za provedbu prijetnje;
5. Opis moguće motivacije djelovanja uljeza;
6. Načini provoditi prijetnje informacijske sigurnosti prema navedenim prekršiteljima.

Za izgradnju modela prekršavanja, informacije iz sigurnosne službe, rizične jedinice i usluge unutarnje kontrole Banke na postojeće sredstvo pristupa informacijama i obradi, o mogućim metodama presretanja podataka u fazi prijenosa, prerade i skladištenja, na Postavljanje u timu i na objekt zaštite, informacije o konkurentima i situaciji na tržištu, o slučajevima krađe informacija i slično. ,

Osim toga, procjenjuju se stvarne operativne tehničke sposobnosti počinitelja utjecati na koncept zaštite ili na zaštićeni objekt. Prema tehničkim mogućnostima shvaća se kao popis različitih tehničkih sredstava da se počinitelj može staviti tijekom rada poslovanja usmjerenih na sustav zaštite informacija.

Konačno, treba napomenuti da je učinkovito korištenje modela dopuštena samo s kvalitetnim izvorom podataka potrebnim za opisivanje modela pri rješavanju zaštitnih zadataka. Činjenica da je ogromna količina izvornih podataka ima visok stupanj nesigurnosti. Iz tog razloga, potrebno je ne simulirati potrebne podatke, nego ih redovito učiniti procjenom i konkretizacijom.

Bibliografski popis:

1. Alshanskaya, T. V. Primjena metoda analize sustava od strane stručnjaka za informacijsku sigurnost [Tekst] / T. V. Alshanskaya. Informacijski sustavi i tehnologije: Upravljanje i sigurnost: Sat. Umjetnost. III. Međunarodna korespondencija Znanstvena i praktična konferencija / Volga država. Sveučilište u službi. - Tolyatti: izdavačka kuća PVGUS, 2014. - 348 str.
2. TROFIMOVA, V. V. informacijski sustavi i tehnologije u gospodarstvu i upravljanju [Tekst] / V.V. Trofimova. M.: Yurait, 2012. - 521 str.
3. Federalni zakon "o informacijama, informacijskim tehnologijama i zaštite informacija" od 07/27/2006 br. 149-FZ

Aktivnosti bankarstva uvijek su povezane s obradom i skladištenjem velikog broja povjerljivih podataka. Prije svega, to su osobni podaci o klijentima, njihovim doprinosima i svim operacijama koje se provode.

Sve komercijalne informacije pohranjene i obrađene u kreditne organizacijeje podvrgnut širokom rasponu rizika povezanih s virusima, neuspjehom hardvera, neuspjehima operativnog sustava itd. Ali ti problemi nisu u mogućnosti nanositi ozbiljnu štetu. Dnevno sigurnosno kopiranje podataka, bez kojih je rad informacijskog sustava bilo kojeg poduzeća nezamisliv, smanjuje rizik od neopozivog gubitka informacija na minimum. Osim toga, metode zaštite od navedenih prijetnji dobro su dizajnirane i široko dizajnirane. Stoga, rizici povezani s neovlaštenim pristupom povjerljivim informacijama (NSD) dolaze do izražaja.

Neovlašteni pristup je stvarnost.

Do danas su najčešći tri načina krađe povjerljivih informacija. Prvi, fizički pristup svojim mjestima za pohranu i preradu. Ovdje postoji mnogo opcija. Na primjer, napadači se noću mogu popeti na bankovni ured i ukrasti tvrde diskove sa svim bazama podataka. Moguće je čak i oružana mana, čija je svrha, već informacija. Situacija nije isključena kada zaposlenik Banke može nositi prijevoznik informacija izvan teritorija.

Drugo, korištenje sigurnosnih kopija. U većini banaka, sustav otpuštanja važnih podataka temelji se na koracima. Oni bilježe stvorene kopije za magnetske trake, koje se zatim pohranjuju na odvojeno mjesto. Pristup njima je reguliran mnogo nježno. Kada se prevoze i pohranjuju, relativno veliki broj ljudi može ukloniti kopije od njih. Rizici povezani s podacima o sigurnosnom kopiranju ne mogu se podcijeniti. Na primjer, većina stručnjaka je uvjerena da su baze podataka središnje banke Ruske Federacije u 2005. godini ukradene zahvaljujući kopijama iz magnetskih traka. U svjetskoj praksi postoji mnogo sličnih incidenata. Konkretno, u rujnu prošle godine, Chase Card Services osoblje (podjela JPMorgan Chase & Co.), dobavljač kreditnih kartica, pogrešno je udario pet magnetskih traka s sigurnosnim kopijama koje sadrže informacije o 2,6 milijuna kreditnih vlasnika računa kruga.

Treće, najvjerojatniji način curenja povjerljivih informacija je neovlašteni pristup zaposlenicima banaka. Kada se koristi za odvajanje prava samo standardnih alata operativnih sustava, korisnici često imaju sposobnost neizravno (koristeći određeni softver) u potpunosti kopirati baze podataka s kojima rade i čine ih izvan tvrtke. Ponekad zaposlenici to rade bez zlonamjerne namjere, samo da rade s informacijama kod kuće. Međutim, takve akcije su velika sigurnosna povreda i mogu postati (i postati!) Razlog za publicitet povjerljivih podataka.

Osim toga, u svakoj banci postoji skupina ljudi koji imaju u povišenim privilegijama u lokalnoj mreži. Govorimo o administratorima sustava. S jedne strane, potrebno je da ispune službene dužnosti. No, s druge strane, oni imaju priliku pristupiti svim informacijama i "provjeriti pjesme".

Dakle, sustav zaštite informacije o bankama Od neovlaštenog pristupa trebao bi se sastojati od najmanje tri podsustava, od kojih svaki osigurava zaštitu od njegove vrste prijetnji. To je podsustav zaštite od fizičkog pristupa podacima, sigurnosnim sigurnosnim podsustavama i insiderima sigurnosnih podsustava. I poželjno je ne zanemariti bilo koji od njih, jer svaka prijetnja može uzrokovati otkrivanje povjerljivih podataka.

Banke zakon nije napisano?

Trenutno su aktivnosti banaka regulirana saveznim zakonom "o bankama i bankarskim aktivnostima". U njemu je, između ostalog, uveden je koncept "bankarske misterije". Prema njegovim riječima, svaka kreditna organizacija dužna je osigurati povjerljivost svih podataka o depozitima kupaca. Za njihovo otkrivanje odgovorna je, uključujući naknadu štete zbog propuštanja. U isto vrijeme nisu prikazani nikakvi zahtjevi za sigurnošću informacijskih sustava banaka. To znači da se sve odluke o zaštiti banaka za komercijalne podatke neovisno prihvate, na temelju iskustva svojih stručnjaka ili tvrtki treće strane (na primjer, provode reviziju informacijske sigurnosti). Jedina preporuka je standard središnje banke Ruske Federacije "Osiguravanje informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije. Općenito. " Prvi put se pojavio 2004. godine, a 2006. usvojen je nova verzija. Prilikom stvaranja i rafiniranja ovog odjela korišteni su postojeći ruski i međunarodni standardi u području informacijske sigurnosti.

Središnja banka Ruske Federacije može je preporučiti samo drugim bankama, ali ne mogu inzistirati na obveznoj provedbi. Osim toga, u standardu postoje mali jasni zahtjevi koji određuju izbor specifičnih proizvoda. On je definitivno važan, ali u ovom trenutku nema ozbiljnu praktičnu vrijednost. Na primjer, o certificiranim proizvodima u njemu se kaže ovako: "... certificirani ili ovlašteni alati za zaštitu informacija iz NSD-a mogu se koristiti. Odgovarajući popis nedostaje.

U navedenom standardu i zahtjevima za kriptografsko sredstvo zaštite informacija u bankama. I ovdje je već više ili manje jasna definicija: "ski ... treba implementirati na temelju algoritama koji zadovoljavaju nacionalne standarde Ruske Federacije, uvjete ugovora s ugovorom i (ili) organizacijskim standardima". Potvrdite korespondenciju GOST 28147-89 kriptografskog modula može se obaviti certifikatom. Stoga, kada se koristi u banci sustava za šifriranje, poželjno je primijeniti certificirani FSB softvera Ruske Federacije ili hardverskih kriptovovidera, to jest, vanjski moduli koji su spojeni na softver i trenutni proces šifriranja.

U srpnju prošle godine usvojen je savezni zakon Ruske Federacije "o osobnim podacima", koji je stupio na snagu 1. siječnja 2007. godine. Neki su stručnjaci povezani s njim pojavu specifičnijih zahtjeva za sustave za zaštitu banaka, budući da banke pripadaju organizacijama za obradu osobnih podataka. Međutim, sama zakon je svakako vrlo važan u cjelini, danas nije primjenjivo u praksi. Problem leži u nedostatku standarda za zaštitu privatnih podataka i organa koji bi mogli kontrolirati njihovo izvršenje. To jest, ispostavlja se da su trenutno banke slobodne u izboru komercijalnih sustava za zaštitu informacija.

Fizička zaštita pristupa

Banke tradicionalno posvećuju veliku pozornost na fizičku sigurnost poslovnih ureda, grana za pohranu imovine itd. Sve to smanjuje rizik neovlaštenog pristupa komercijalnim informacijama fizičkim pristupom. Međutim, bankovni uredi i tehničke zgradeKoji poslužitelji domaćini, prema stupnju zaštite, obično se ne razlikuju od ureda drugih tvrtki. Stoga, kako bi se smanjili opisani rizici, potrebno je koristiti kriptografski sustav zaštite.

Danas postoji veliki broj komunalnih usluga na tržištu koji šifriraju podatke. Međutim, značajke njihove obrade u bankama nameću odgovarajućim dodatnim zahtjevima. Prvo, u kriptografskom sustavu zaštite, potrebno je provesti načelo transparentnog šifriranja. Kada ga koristite, podaci su uglavnom repozitorij uvijek samo kodirani. Osim toga, ova tehnologija omogućuje minimiziranje redovitih troškova rada. Oni ne moraju dešifrirati i šifrirati svaki dan. Pristup informacijama provodi se pomoću posebnog softvera instaliranog na poslužitelju. Automatsko dešifrira informacije prilikom pristupa i šifrira prije pisanja na tvrdi disk. Te se operacije provode izravno u RAM poslužitelju.

Drugo, banke baze podataka su vrlo voluminozne. Dakle, kriptografski sustav za zaštitu informacija bi trebao raditi ne s virtualnim, ali s pravim particijama tvrdih diskova, RAID nizovima i drugim nosačima podataka o poslužitelju, na primjer, s objektima za skladištenje. Činjenica je da spremnik datoteke koje se mogu spojiti na sustav kao virtualni diskovi nisu namijenjeni za rad s velikim količinama podataka. U slučaju kada je virtualni disk stvoren iz takve datoteke ima veliku veličinu, kada ga pristupa istodobno, čak i nekoliko ljudi, možete primijetiti značajno smanjenje brzine čitanja i pisanja informacija. Rad od nekoliko desetaka osoba s velikom količinom kontejnera može se pretvoriti u vizualnu muku. Osim toga, mora se imati na umu da su ti predmeti podložni riziku od oštećenja zbog virusa, neuspjeha datotečnog sustava itd. Uostalom, u biti, oni predstavljaju obične datoteke, ali prilično velike. Čak i njihova mala promjena može dovesti do nemogućnosti dekodiranja cijele informacije sadržane u njemu. Oba ova obvezna zahtjevi značajno sužu krug pogodan za zaštitu proizvoda. Zapravo danas rusko tržište Postoji samo nekoliko takvih sustava.

Nije potrebno razmotriti tehničke značajke poslužiteljskih sustava kriptografske zaštite informacija detaljno, jer u jednom od prošlih brojeva već smo usporedili ove proizvode. (Stolyrov N., Davlekhanov M. UTM-zaštita.) Ali vrijedi spomenuti neke od značajki takvih sustava, čiji je prisutnost poželjno za banke. Prvi je povezan s već spomenutom certificiranjem korištenog kriptografskog modula. Odgovarajući softver ili hardver već je u većini banaka. Stoga se sigurnosni sustav poslužitelja mora osigurati mogućnost povezivanja i korištenja. Drugi poseban zahtjev za informacijsko sigurnosno sustav je mogućnost integriranja sustava fizičkog sigurnosnog sustava ureda i / ili sobe poslužitelja. To vam omogućuje da zaštitite informacije od neovlaštenog pristupa povezane s krađe, hakiranjem itd.

Posebnu pozornost u bankama treba dati sigurnosti informacija, budući da je to zapravo novac kupaca. Stoga se u sustavu zaštite mora osigurati posebne mogućnosti za minimiziranje rizika od gubitka. Jedna od najznačajnijih je funkcija određivanja razmaženih sektora na tvrdom disku. Osim toga, najvažnija je mogućnost suspenzije i otkazivanja procesa početnog šifriranja diska, njegovog dešifriranja i miješanja. To su prilično dugi postupci, svaki neuspjeh tijekom kojih prijeti potpuni gubitak svih podataka.

Vrlo veliki utjecaj na rizike povezane s neovlaštenim pristupom povjerljivim informacijama ima ljudski faktor. Stoga je poželjno da sustav zaštite osigurava mogućnost smanjenja takvih odnosa. To se postiže korištenjem pouzdanih alata za pohranu za ključeve za šifriranje - pametne kartice ili USB ključeve. Optimalan je unos tih tokena u proizvod, ne dopušta ne samo optimizirati troškove, već i pruža punu kompatibilnost softvera i hardvera.

Još jedna važna značajka koja vam omogućuje minimiziranje utjecaja ljudskog faktora na pouzdanost sustava zaštite je kvorum ključeva. Njegova suština leži u podjeli ključa za šifriranje u nekoliko dijelova, od kojih je svaki dan na korištenje jednog odgovornog zaposlenika. Da biste spojili zatvoreni disk, potrebna je prisutnost određenog broja dijelova. Štoviše, može biti manje od ukupnog broja dijelova ključa. Ovaj pristup omogućuje vam osiguranje podataka od zlouporabe odgovornih zaposlenika, a također pruža potrebnu fleksibilnost za rad.

Sigurnosna kopija zaštita

Redovita rezervacija cjelokupnih informacija pohranjenih u Banci je apsolutno potrebna mjera. Omogućuje vam da značajno smanjite gubitke u slučaju problema kao što su oštećenje virusa, neuspjeh hardvera itd. No, u isto vrijeme, povećava rizike povezane s neovlaštenim pristupom. Praksa pokazuje da se mediji na kojima se zapisuju sigurnosne kopije ne smiju se pohraniti u sobu poslužitelja, već u drugoj prostoriji ili čak zgradi. Inače, kada se pojavi požar ili drugi ozbiljan incident, neopozivo izgubljeni mogu biti i podaci i njihovi arhivi. Sigurno možete zaštititi kopije od neovlaštene uporabe pomoću kriptografije. U tom slučaju, čuvanje ključnog šifriranja samo po sebi, službenik za sigurnost može mirno prenijeti medije s tehničkom arhivom osoblja.

Glavna složenost u organizaciji kriptografske zaštite sigurnosnih kopija je potreba za odvajanjem dužnosti za upravljanje arhiviranjem podataka. Konfigurirati i implementirati sam sigurnosni proces, administrator sustava ili drugi tehnički službenik. Za upravljanje istom informacijskom šifriranjem mora biti odgovoran službenik za sigurnost zaposlenika. U tom slučaju potrebno je shvatiti da se rezervacija u velikoj većini provodi u automatskom načinu rada. Ovaj problem možete riješiti samo pomoću "ugradnja" kriptografskog sustava zaštite između sustava sigurnosne kopije i uređaja koji bilježe podatke (streameri, DVD pogoni itd.).

Prema tome, kriptografski proizvodi za mogućnost njihove uporabe u bankama također bi trebali biti u mogućnosti raditi s različitim uređajima koji se koriste za snimanje sigurnosnih kopija na medij: koraci, cd- i DVD pogoni, uklonjivi tvrdi diskovi, itd.

Danas postoje tri vrste proizvoda dizajniranih za minimiziranje rizika povezanih s neovlaštenim pristupom kopiji sigurnosne kopije. Prvi uključuje posebne uređaje. Takva hardverska rješenja imaju mnoge prednosti, uključujući pouzdane informacije šifriranja i velike brzine. Međutim, oni posjeduju tri značajne nedostatke koji im ne dopuštaju da ih koriste u bankama. Prvi: vrlo visoki troškovi (deseci tisuća dolara). Drugo: moguće probleme s uvozom u Rusiju (ne možete zaboraviti da govorimo o kriptografskim sredstvima). Treći minus je nemogućnost povezivanja vanjskih certificiranih kriptoda. Ove ploče rade samo s algoritmima šifriranja koji se provode u razini hardvera.

Druga skupina kriptografskih sustava zaštite za sigurnosne kopije čine moduli koji nude softver za razvojne programere i hardver za sigurnosnu kopiju. Oni postoje za sve najpoznatije proizvode u ovom području: Arcserve, Veritas Backup Exec i drugi. Istina, i imaju svoje značajke. Najvažnije je rad samo s "vašim" softverom ili vožnjom. U međuvremenu, informacijski sustav banke se neprestano razvija. I moguće je da zamjena ili ekspanzija sigurnosnog sustava može zahtijevati dodatne troškove za izmjenu sustava zaštite. Osim toga, u većini proizvoda ove skupine provodi se stari spori algoritmi šifriranja (na primjer, 3DES), nema ključnih alata za upravljanje, ne postoji mogućnost povezivanja vanjskih kriptovidera.

Sve to prisiljava blisku pozornost na kriptografske sustave zaštite sigurnosnih kopija iz treće skupine. Uključuje posebno dizajniran softver, softver i hardverski i hardverski proizvodi koji nisu pogođeni specifičnim sustavima arhiviranja podataka. Oni podržavaju širok raspon uređaja za snimanje informacija, što im omogućuje da ih primijenu u cijeloj banci, uključujući sve njegove podružnice. To osigurava uniformnost korištenih alata i minimiziranje operativnih troškova.

Istina, vrijedi napomenuti da je, unatoč svim svojim prednostima, na tržištu zastupljeni neki proizvodi iz treće skupine. To je najvjerojatnije posljedica nedostatka velike potražnje za kriptografskim sustavima sigurnosnih kopija. Čim je upravljanje bankama i drugim većim organizacijama svjesno stvarnosti rizika povezanih s arhiviranjem komercijalnih informacija, broj igrača na ovom tržištu će rasti.

Zaštita od insajdera

Nedavna istraživanja u području informacijske sigurnosti, kao što je godišnji CSI / FBI računalni kriminal i sigurnosna anketa, pokazala je da se financijski gubici poduzeća iz većine prijetnji smanjuju iz godine. Međutim, postoji nekoliko rizika, gubitaka iz kojih rastu. Jedna od njih je namjerna krađa povjerljivih informacija ili povredu pravila za liječenje tih zaposlenika čiji je pristup komercijalnim podacima nužan za ispunjavanje službenih dužnosti. Nazivaju se insajderima.

U ogromnoj većini slučajeva, krađa povjerljivih informacija provodi se pomoću mobilnih medija: CD-a i DVD-a, Zip uređaja i, što je najvažnije, sve vrste USB pogona. To je njihova masovna distribucija i dovela do cvatnje Insider Worldwide. Vođe većine banaka savršeno razumiju što mogu prijetiti, na primjer, bazu podataka od osobnih podataka od svojih klijenata ili, osobito, ožičenje na računima u rukama kriminalnih struktura. I pokušavaju se boriti s vjerojatnotom krađe informacija koje su im dostupne organizacijskim metodama.

Međutim, organizacijske metode u ovom slučaju su nedjelotvorne. Danas možete organizirati prijenos informacija između računala pomoću minijaturnog flash pogona, mobitela, MP3 playera, digitalnog fotoaparata ... naravno, možete pokušati zabraniti sve ove uređaje u ured, ali ovo, prvo, će negativno utjecati na odnos s zaposlenicima i drugo, uspostaviti stvarno učinkovitu kontrolu nad ljudima je još uvijek vrlo teško - banka nije "poštanski sandučić". Pa čak i isključivanje na računalima sve uređaje koji se mogu koristiti za snimanje informacija o vanjskim nosačima (FDD i zip diskovi, CD i DVD pogoni, itd.), A USB priključci neće pomoći. Uostalom, prvi je potreban za rad, a drugi je povezan raznim perifernim uređajima: pisači, skeneri itd. I nitko ne može spriječiti osobu da onemogući pisač za minutu, umetnite flash pogon u oslobođeni priključak i kopirajte važne informacije na njega. Možete, naravno, pronaći originalne načine za zaštitu. Na primjer, u jednoj banci, takva metoda rješavanja problema je pokušao: USB priključci za priključak i kabel epoksisti smola su izliveni, čvrsto "vezani" posljednji na računalo. Ali, na sreću, danas postoji više modernih, pouzdanih i fleksibilnih metoda praćenja.

Najučinkovitije sredstvo minimiziranja rizika povezanih s insider je poseban softver koji vježba dinamičko upravljanje svim uređajima i lukama računala koje se mogu koristiti za kopiranje informacija. Načelo njihovog rada je takav. Za svaku grupu korisnika ili za svakog korisnika dopuštenja su postavljena za korištenje različitih portova i uređaja. Najveća prednost ovog softvera je fleksibilna. Ograničenja možete unijeti za određene vrste uređaja, njihovih modela i pojedinačnih slučajeva. To vam omogućuje da implementirate vrlo složene politike prava pristupa.

Na primjer, neki zaposlenici mogu vam omogućiti da koristite bilo kakve pisače i skenere spojene na USB priključke. Svi preostali uređaji umetnuti u ovaj priključak ostaju nedostupni. Ako se banka koristi u banci, sustav za provjeru točaka, zatim u postavkama možete odrediti korištene tipke. Tada će korisnici biti dopušteni koristiti samo uređaj koji je kupila tvrtka, a svi ostali će biti beskorisni.

Na temelju načela rada sustava zaštite opisanih gore, može se podrazumijevati koje su trenutke važni pri odabiru programa koji implementiraju dinamičko blokiranje zapisa i luka računala. Prvo, ovo je svestranost. Sustav zaštite treba pokriti cijeli spektar mogućih portova i I / O uređaja. U suprotnom, rizik od krađe komercijalnih informacija ostaje neprihvatljiv. Drugo, sljedeće bi trebalo biti fleksibilno i omogućilo nam stvaranje pravila korištenjem velikog broja različitih informacija o uređajima: njihovim vrstama, proizvođačima modela, jedinstvenim brojevima koji imaju svaki primjer, itd. Pa, treće, insidersov sustav zaštite trebao bi se moći integrirati s bankovnim informacijskim sustavom, posebno s Active Directory. U suprotnom, administrator ili službenik sigurnosti morat će voditi dvije baze podataka korisnika i računala, što nije samo nezgodno, već i povećava rizike pogrešaka.

Sumirajmo

Dakle, danas postoje proizvodi na tržištu s kojima bilo koja banka može dogovoriti pouzdan sustav Zaštita informacija od neovlaštenog pristupa i neprikladne uporabe. Istina, kad biraju, morate biti vrlo oprezni. U idealnom slučaju, to bi se trebalo nositi s vlastitim stručnjacima odgovarajuće razine. Dopuštena je uporaba stranih tvrtki. Međutim, u ovom slučaju, situacija je moguća kada će Banka biti vješto nametnuta na adekvatnom softveru, a to je korisno za dobavljač tvrtke. Osim toga, domaće konzultantsko tržište u području informacijske sigurnosti je u djetinjstvu.

U međuvremenu, napravite pravi izbor vrlo jednostavan. Dovoljno je ARMA našim kriterijima koje smo naveli i pažljivo ispitali tržište sigurnosnog sustava. Ali postoji "podvodni kamen", koji se mora pamtiti. U idealnom slučaju, sustav informacijske sigurnosti banke mora biti ujedinjen. To jest, svi podsustavi trebaju biti integrirani u postojeći informacijski sustav i poželjno je imati zajedničko upravljanje. U suprotnom, povećavajući troškovi rada neizbježni su za administrativnu zaštitu i povećanje rizika zbog pogrešaka u upravljanju. Stoga je danas izgraditi sva tri opisivanja pretenzija, bolje je odabrati proizvode koje izdaje jedan developer. Danas postoje tvrtke u Rusiji koji stvaraju sve što je potrebno kako bi zaštitili podatke o bankovima od neovlaštenog pristupa.

Strategija informacijske sigurnosti banaka vrlo je različita od sličnih strategija drugih tvrtki i organizacija. To je prvenstveno posljedica specifične prirode prijetnji, kao i javnu aktivnost banaka koje su prisiljeni učiniti pristup računima dovoljno lako praktičnosti za kupce.

Uobičajena tvrtka gradi svoju informacijsku sigurnost, postupak samo iz uskog kruga potencijalnih prijetnji - uglavnom zaštita informacija od konkurenata (u ruskim stvarnostima Glavni zadatak je zaštititi informacije od porezna uprava i kriminalnu zajednicu kako bi se smanjila vjerojatnost nekontroliranog rasta poreznih plaćanja i raceta). Takve informacije su zanimljive samo uski krug zainteresiranih strana i organizacija i rijetko je tekuća, tj. Okupiti se u monetarni oblik.

Informacijska sigurnost Banke mora uzeti u obzir sljedeće specifične čimbenike:

1. Pohranjivanje i obrada u bankarskim sustavima informacije je stvarni novac. Na temelju informacija o računalu, plaćanja se mogu platiti, krediti za otvaranje, prevođenje značajnih iznosa. Jasno je da ilegalna manipulacija s takvim informacijama može dovesti do ozbiljnih gubitaka. Ova značajka oštro proširuje krug kruga oštro na banke (za razliku od, na primjer, industrijske tvrtke, unutarnje informacije je od malo interesa).

2. Informacije u bankarskim sustavima utječu na interese velikog broja ljudi i organizacija - kupcima banke. U pravilu je povjerljivo, a Banka je odgovorna za pružanje potrebnog stupnja tajnosti svojim klijentima. Naravno, kupci imaju pravo očekivati \u200b\u200bda bi banka trebala voditi brigu o svojim interesima, inače, on riskira svoj ugled sa svim posljedicama koje se pojavljuju.

3. Konkurentnost Banke ovisi o tome koliko je prikladno raditi s bankom, kao i koliko širok raspon pruženih usluga, uključujući usluge vezane uz daljinski pristup. Stoga bi klijent trebao biti u stanju brzo i bez dosadnih postupaka za zbrinjavanje njegovog novca. Ali takva lakoća pristupa novcu povećava vjerojatnost kaznenog prodiranja u bankovne sustave.

4. Informacijska sigurnost Banke (za razliku od većine tvrtki) treba osigurati visoku pouzdanost računalnih sustava, čak iu slučaju izvanrednih situacija, budući da je Banka odgovorna ne samo za svoja sredstva, već i za novac korisnika.

5. Banka pohranjuje važne informacije o svojim klijentima, koji proširuju raspon potencijalnih uljeza zainteresiranih za krađu ili oštećenja takvih informacija.

Zločini u bankarskom sektoru također imaju vlastite karakteristike:

Mnogi zločini počinjeni u financijskoj sferi i dalje su nepoznati Općoj javnosti zbog činjenice da upravitelji banaka ne žele ometati svoje dioničare, boje se izložiti svoje organizacije novim napadima, bojati se ugled kao pouzdanog skladišta sredstava i, Kao rezultat toga, gubitak kupaca.

U pravilu, napadači obično koriste vlastite račune na koje su prevedene otečene količine. Većina kriminalaca ne zna kako se "oprati" ukradeni novac. Sposobnost počinjenja zločina i sposobnosti da dobije novac nije ista stvar.

Većina računalnih zločina je mala. Šteta od njih leži u rasponu od $ 10.000 do $ 50,000.

Uspješni računalni zločini, u pravilu, zahtijevaju veliki broj bankarskih operacija (do nekoliko stotina). Međutim, velike sume mogu se poslati i u samo nekoliko transakcija.

Većina napadača su službenici. Iako najviši osoblje Banke također može počiniti zločine i staviti banka mnogo više štete - takve slučajeve su pojedinačni.

Računalni zločini nisu uvijek high-tech. Dovoljno je lažirati podatke, promjene u parametrima asoib medija, itd., I ove aktivnosti su dostupne osoblju servisa.

Mnogi napadači objašnjavaju svoje postupke činjenicom da bankom uzimaju samo u dug s naknadnim povratkom. Međutim, "povratak", u pravilu, ne događa se.

Specifičnosti zaštite automatiziranih sustava za obradu informacija banaka (ASOIB) su zbog značajki zadataka riješenih od njih:

ASOB se obično obrađuje veliki tok stalno dolaznih zahtjeva u stvarnom vremenu, od kojih svaki ne zahtijeva za obradu brojnih resursa, ali zajedno mogu se liječiti samo sustavom visokih performansi;

Asoib je pohranjen i povjerljive informacije se obrađuju, a ne namijenjena široj javnosti. Njegova lažna ili propuštanje može dovesti do ozbiljnih (za banku ili njezinih klijenata) posljedica. Stoga je ASOB osuđen da ostane relativno zatvoren, radi pod kontrolom određenog softvera i posvećuje veliku pozornost osiguravanju njegove sigurnosti;

Još jedna značajka asoiba je povećani uvjeti za pouzdanost hardvera i softvera. Na temelju toga, mnoge moderne asoiba su na tzv.

Možete odabrati dvije vrste zadataka riješenih asoiba:

1. Analitički. Ovaj tip uključuje planiranje zadataka, analiza računa itd. Oni nisu operativni i mogu zahtijevati rješavanje dugog vremena, a njihovi rezultati mogu utjecati na politiku Banke u pogledu određenog klijenta ili projekta. Stoga se podsustav s kojim se rješavaju analitički zadaci moraju sigurno izolirati iz glavnog sustava obrade informacija. Da biste riješili takve probleme, obično nema snažnih računalnih resursa, obično 10-20% kapaciteta cijelog sustava je obično dovoljno. Međutim, zbog moguće vrijednosti rezultata, njihova zaštita mora biti trajna.

2. Casual. Ovaj tip uključuje zadatke riješene u svakodnevnoj aktivnosti, prije svega, plaćanja i podešavanje računa. To je oni koji određuju veličinu i kapacitet glavnog sustava Banke; Da bi ih riješilo, obično je potrebno mnogo više sredstava nego za analitičke zadatke. U isto vrijeme, vrijednost informacija obrađenih pri rješavanju takvih zadataka je privremena. Postupno, vrijednost informacija, na primjer, za obavljanje bilo koje uplate, postaje relevantna. Naravno, to ovisi o mnogim čimbenicima, nekako: iznosi i vrijeme plaćanja, brojeve računa, dodatne karakteristike itd. Stoga je obično dovoljna za plaćanje u plaćanju upravo u vrijeme njegove provedbe. U tom slučaju, zaštita procesa prerade i krajnjim rezultatima treba biti trajna.

Koje mjere zaštite sustava za obradu informacija preferiraju strani stručnjaci? Na to se pitanje može odgovoriti korištenjem rezultata istraživanja koje je provela podatkovna informacijska skupina u 1994. među bankama i financijskim institucijama:

Formulirane politike informacijske sigurnosti imaju 82% ispitanika. U usporedbi s 1991. godine, postotak organizacija s sigurnosnim politikama povećao se za 13%.

Još 12% ispitanika planira razviti sigurnosne politike. Sljedeći trend je jasno izražen: organizacije s velikim brojem osoblja radije imaju razvijenu sigurnosnu politiku u više odod organizacija s malim brojem osoblja. Na primjer, prema ovom izboru, samo 66% organizacija, s brojem zaposlenih manje od 100 ljudi ima sigurnosne politike, dok za organizacije s brojem zaposlenika više od 5.000 ljudi udio takvih organizacija je 99%.

U 88% organizacija s politikom informacijske sigurnosti, postoji posebna podjela koja je odgovorna za njegovu provedbu. U tim organizacijama koje ne sadrže takvu jedinicu, ove funkcije su uglavnom povjerene administratorom sustava (29%), na upravitelju informacijskog sustava (27%) ili na uslugu fizičke sigurnosti (25%). To znači da postoji tendencija da se dodijeli zaposlenici odgovornim za računalnu sigurnost u posebnu podjelu.

Što se tiče zaštite, posebna pozornost posvećuje se zaštiti računalnih mreža (90%), velikim računalima (82%), oporavak informacija nakon nesreća i katastrofa (73%), zaštita od računalnih virusa (72%), zaštita osobna računala (69%).

Sljedeći zaključci mogu se izvući o značajkama zaštite informacija u stranim financijskim sustavima:

Glavna stvar u obrani financijskih organizacija je operativna i, ako je moguće, potpuni oporavak informacija nakon nesreća i neuspjeha. Oko 60% ispitanika financijskih organizacija ima plan za takav oporavak, koji se revidira godišnje u više od 80% njih. U osnovi, zaštita informacija od uništenja postiže stvaranjem sigurnosnih kopija i njihovo vanjsko skladištenje, korištenje neprekidnog napajanja i organizacije "vruće" hardverske rezerve.

Sljedeći problem je važan za financijske organizacije - to je upravljanje korisničkim pristupom pohranjenim i prerađenim informacijama. Tu su široko korišteni različiti sustavi kontrole pristupa koji ponekad mogu zamijeniti antivirusni softver. Uglavnom koristite kupljeni softver za kontrolu pristupa. Štoviše, u financijskim institucijama, posebna se pozornost posvećuje takvim korisnicima na mrežu. Međutim, certificirani kontrole pristupa su iznimno rijetki (3%). To se može objasniti činjenicom da s certificiranim softverom teško je raditi i oni su izuzetno skupi u radu. To se objašnjava činjenicom da su razvijeni parametri certificiranja uzimajući u obzir zahtjeve za vojne sustave.

O razlikama u organizaciji zaštite računalnih mreža u financijskim institucijama su široko rasprostranjeno korištenje standarda (tj. Prilagođen, ali nije posebno dizajniran za određenu organizaciju) komercijalni softver za kontrolu pristupa mreži (82%), zaštitu točaka veza s Sustav putem komunikacije s uključenim linijama (69%). Najvjerojatnije, to je zbog veće prevalencije telekomunikacija u financijskim područjima i želji da se zaštiti od vanjskog smetnji. Ostale zaštitne metode, kao što je uporaba antivirusnog, priključka i šifriranja kanala prenesenih podataka, autentifikacija poruke su približno ista i uglavnom (s izuzetkom antivirusnih sredstava), manje od 50% ispitanih organizacija.

Veliku pozornost u financijskim institucijama daje se fizičkoj zaštiti prostora u kojima se nalaze računala (oko 40%). To znači da je zaštita računala od pristupa neovlaštenim osobama riješena ne samo uz pomoć softvera, već i organizacijske i tehničke (sigurnosne, brave, itd.).

Šifriranje lokalnih informacija koristi se za nešto više od 20% financijskih organizacija. Razlozi za to su složenost raspodjele ključeva, strogi zahtjevi za brzinu sustava, kao i potrebu za operativnom povratom informacija u slučaju kvarova i kvarova opreme.

Značajno manje pozornosti u financijskim organizacijama daje se zaštiti telefonskih telefonskih linija za telefonske komunikacije (4%) i korištenja računala razvijenih, uzimajući u obzir zahtjeve oluja standarda (zaštita od curenja informacija putem elektromagnetskih emisija kanala i vrha). U vladinim organizacijama, rješavanje problema protustruživanja informacija pomoću elektromagnetske emisije i podnošenja plaća mnogo više pozornosti.

Analiza statistike omogućuje vam da napravite važan zaključak: Zaštita financijskih organizacija (uključujući banke) je nešto drugačije od običnih komercijalnih i državnih organizacija. Prema tome, ASOB zaštita se ne može primijeniti na ista tehnička i organizacijska rješenja koja su razvijena za standardne situacije. Nemoguće je bezbrižno kopirati tuđe sustave - oni su dizajnirani za druge uvjete.

Od svog izgleda, banke su dosljedno izazvale interes iz kriminalnog svijeta. I taj je interes bio povezan ne samo sa skladištenjem u kreditnim institucijama sredstava, već i s činjenicom da su banke usmjerene važne i često tajne informacije o financijskim i gospodarskim aktivnostima mnogih ljudi, tvrtki, organizacija, pa čak i cijelih država. Trenutno je bankarska tajna zaštićena zakonom zajedno s državnom tajnom.

U vezi s univerzalnim informacijama i informatizacijom bankarskih aktivnosti, važnost informacijske sigurnosti banaka više puta se povećala. Još prije 30 godina, objekt informacijskih napada bili su podaci o kupcima banaka ili na aktivnosti same banke. Takvi su napadi bili rijetki, krug njihovih kupaca bio je vrlo usran, a šteta bi mogla biti značajna samo u posebnim slučajevima. Trenutno, kao rezultat rasprostranjene distribucije elektroničkih plaćanja, plastičnih kartica, računalnih mreža, objekt informacijskih napada postao je izravno unovčiti obje banke i njihove klijente. Pokušaj uljepšavanja može bilo tko - samo prisutnost računala povezanog s internetom. I za to nije potrebno fizički prodiranje banke, možete "raditi" i tisuće kilometara od njega.

Usluge koje pružaju banke danas su u velikoj mjeri utemeljene na korištenju elektroničke interakcije banaka među sebi, bankama i njihovim kupcima i trgovinskim partnerima. Trenutno je pristup bankama postao moguć iz raznih udaljenih točaka, uključujući kućne terminale i servisne računala. Ta činjenica uzrokuje da se udaljite od koncepta "zaključanih vrata", što je karakteristično za banke u 1960-ima, kada su računala korištena u većini slučajeva u batch modu kao pomoć i nemaju nikakvu vezu s vanjskim svijetom.

Računalni sustavi bez kojih nema moderne banke - izvor potpuno novih, prethodno nepoznatih prijetnji. Većina njih je posljedica uporabe bankarsko poslovanje Nove informacijske tehnologije i karakteristične su ne samo za banke.

Razina opreme u automatizaciji putem automatizacije igra važnu ulogu u aktivnostima Banke i stoga se izravno odražava u svom položaju i dohotku. Jačanje konkurencije između banaka dovodi do potrebe za smanjenjem vremena na proizvodnju izračuna, povećanju nomenklature i poboljšanju kvalitete pruženih usluga.

Što manje vremena izračune između banke i kupaca će uzeti, to je veći promet banaka i stoga, dobit. Osim toga, banka će brže reagirati na promjenu financijske situacije. Različite usluge banke (prije svega, to se odnosi na mogućnost nenovčanih plaćanja između Banke i njegovih klijenata koji koriste plastične kartice) mogu značajno povećati broj svojih klijenata i, kao rezultat, povećati dobit. Istovremeno, ABS banka postaje jedno od najranjivijih mjesta u cijeloj organizaciji koja privlači uljeze kao izvana i među zaposlenicima samog banke. Kako bi zaštitili sebe i njihove klijente, većina banaka donosi potrebne mjere zaštite, uključujući i zaštitu ABS-a uzima jedno od najvažnijih mjesta. Zaštita ABS banka je skup i složen događaj, zahtijeva ne samo značajna jednokratna ulaganja, već osigurava troškove podrške sustavu zaštite na odgovarajućoj razini. U prosjeku, banke u ovom trenutku za potporu dovoljnoj razini zaštite provedu više od 20 milijuna dolara godišnje.

Strategija informacijske sigurnosti banaka vrlo je različita od sličnih strategija drugih tvrtki i organizacija. To je prvenstveno posljedica specifične prirode prijetnji, kao i javnu aktivnost banaka koje su prisiljeni učiniti pristup računima dovoljno lako praktičnosti za kupce.

Uobičajena tvrtka gradi svoju informacijsku sigurnost, postupak samo iz uskog kruga potencijalnih prijetnji - uglavnom zaštita informacija od konkurenata (u ruskim stvarnostima Glavni zadatak je zaštititi informacije od poreznih tijela i kriminalne zajednice kako bi se smanjila vjerojatnost nekontrolirani rast poreznih plaćanja i racetisa). Takve informacije su zanimljive samo uski krug dionika i organizacija i rijetko je tekuća, to jest, pretvarajući se u monetarni oblik.

7.2. Zahtjevi za informaciju o banci

Informacijska sigurnost Banke mora uzeti u obzir sljedeće specifične čimbenike:

1. Pohranjivanje i prerađeno u bankovnim sustavima informacije su stvarni novac. Na temelju informacija o računalu, plaćanja se mogu platiti, krediti za otvaranje, prevođenje značajnih iznosa. Jasno je da ilegalna manipulacija s takvim informacijama može dovesti do ozbiljnih gubitaka. Ova značajka oštro proširuje krug kruga na oštrom na banke (za razliku od industrijskih tvrtki, od kojih su samo nekoliko ljudi koji su zainteresirani).
2. Informacije u bankarskim sustavima utječu na interese velikog broja ljudi i organizacija - klijenata banke. U pravilu je povjerljivo, a Banka je odgovorna za pružanje potrebnog stupnja tajnosti svojim klijentima. Naravno, kupci imaju pravo očekivati \u200b\u200bda bi banka trebala voditi brigu o svojim interesima, inače, on riskira svoj ugled sa svim posljedicama koje se pojavljuju.
3. Konkurentnost banke ovisi o tome koliko je prikladno raditi s bankom, kao i koliko širok raspon pruženih usluga, uključujući usluge vezane uz daljinski pristup. Stoga bi klijent trebao biti u stanju brzo i bez dosadnih postupaka za zbrinjavanje njegovog novca. Ali takva lakoća pristupa novcu povećava vjerojatnost kaznenog prodiranja u bankovne sustave.
4. Informacijska sigurnost Banke (za razliku od većine tvrtki) trebala bi osigurati visoku pouzdanost računalnih sustava, čak iu slučaju izvanrednih situacija, budući da je Banka odgovorna ne samo za svoja sredstva, već i za novac korisnika.
5. Banka čuva važne informacije o svojim klijentima, koji proširuje raspon potencijalnih uljeza zainteresiranih za krađu ili oštećenja takvih informacija.

Zločini u bankarskom sektoru također imaju vlastite karakteristike:

• Mnogi zločini počinjeni u financijskom sektoru ostaju nepoznati Općoj javnosti zbog činjenice da čelnici banaka ne žele ometati svoje dioničare, boje se da će proći svoju organizaciju na nove napade, bojati se ugled kao pouzdano skladište sredstava i, kao rezultat toga, gubitak kupaca.
• U pravilu, napadači koriste vlastite račune na koje su prevedene otečene količine. Većina kriminalaca ne zna kako se "oprati" ukradeni novac. Sposobnost počinjenja zločina i sposobnosti da dobije novac nije ista stvar.
• Većina računalnih zločina je mala. Šteta od njih leži u rasponu od 10.000 do 50.000 dolara.
• Uspješni računalni zločini, u pravilu, zahtijevaju veliki broj bankarskih operacija (do nekoliko stotina). Međutim, velike sume mogu se poslati i u samo nekoliko transakcija.
• Većina napadača su zaposlenici banaka niske razine, službenici. Iako najviši osoblje Banke također može počiniti zločine i staviti banka mnogo više štete - takve slučajeve su pojedinačni.
• Računalni zločini nisu uvijek high-tech. Dovoljno je da lažira podatke, promjene u parametrima ABS medija, itd., I ove akcije su dostupne i servisno osoblje.
• Mnogi napadači objašnjavaju svoje postupke činjenicom da bankom uzimaju samo u dug s naknadnim povratkom. Međutim, "povratak", u pravilu, ne događa se.

Specifičnosti zaštite automatiziranih sustava za obradu informacija banaka (ABS) su zbog značajki zadataka riješenih od njih:

• ABS rukuje velikim strujom stalno dolaznih zahtjeva u stvarnom vremenu, od kojih svaki ne zahtijeva rješavanje brojnih resursa, ali zajedno mogu se obraditi samo sustavom visokih performansi.
• U ABS-u, povjerljive informacije pohranjuju i obrađuju, nisu namijenjene široj javnosti. Njegova lažna ili propuštanje može dovesti do ozbiljnih (za banku ili njezinih klijenata) posljedica. Stoga su ABS osuđeni na to da ostanu relativno zatvoreni, rade pod kontrolom određenog softvera i plaćaju veliku pozornost na osiguravanje njihove sigurnosti.
• Još jedna značajka ABS je povećani uvjeti za pouzdanost hardvera i softvera. Stoga se većina modernih ABS gradi koristeći računalnu mrežnu mrežnu pogrešku koja omogućuje kontinuiranu obradu informacija čak iu uvjetima različitih kvarova i neuspjeha.

Možete odabrati dvije vrste zadataka riješenih ABS:

1. Analitički. Ovaj tip uključuje zadatke planiranja, analize računa, itd. Oni nisu operativni i mogu zahtijevati za rješavanje dugog vremena, a njihovi rezultati mogu utjecati na politiku Banke u vezi s određenim klijentom ili projektom. Stoga, podsustav, s kojim se rješavaju analitički zadaci, treba sigurno izolirati iz glavnog sustava obrade informacija i, osim toga, zbog mogućeg vrijednosti rezultata, njihova zaštita mora biti trajna.
2. Operativni. Ovaj tip uključuje zadatke riješene u svakodnevnoj aktivnosti, prije svega, plaćanja i podešavanje računa. To je oni koji određuju veličinu i kapacitet glavnog sustava Banke; Da bi ih riješilo, obično je potrebno mnogo više sredstava nego za analitičke zadatke. U isto vrijeme, vrijednost informacija obrađenih pri rješavanju takvih zadataka je privremena. Postupno, vrijednost informacija, kao što je izvršenje bilo koje uplate, postaje irelevantna. Naravno, to ovisi o mnogim čimbenicima, nekako: iznose i vrijeme plaćanja, broj računa, dodatne karakteristike, itd. Stoga je obično dovoljno da se osigura zaštita uplate upravo u vrijeme njegove provedbe. U tom slučaju, zaštita procesa prerade i krajnjim rezultatima treba biti trajna.

7.3. Metode zaštite informacija u sustavima automatiziranih podataka o obradi podataka

Prema zaštiti informacija u informacijskim sustavima (IP) znači redovito korištenje sredstava i metoda u njima, poduzimanje mjera i provedbenih mjera u cilju sistemske potpore za potrebnu pouzdanost pohranjenih i prerađenih informacija. Pouzdanost informacija - integralni pokazatelj koji karakterizira kvalitetu informacija sa stajališta fizičkog integriteta (nedostatak izobličenja ili uništavanja elemenata informacija), povjerenje u informacije (povjerenje u odsutnosti supstitucije) i sigurnost - nedostatak neovlaštenog primitka i kopiranje.

Komponente integralne informacijske sigurnosti:

• mjera organizacijske sigurnosti;
• sigurnosne mjere: zaštita i zaštita zgrada, prostorija, računala koja se prevozi dokumentima itd.
• osiguranje sigurnosti hardvera: osiguravanje pouzdanog rada računala i mrežne opreme;
• osiguranje sigurnosti komunikacijskih kanala: zaštita komunikacijskih kanala od vanjskih utjecaja;
• pružanje sigurnosnog softvera i matematičke podrške: zaštita od virusa, hakera, zlonamjernih programa koji nose povjerljive informacije.

Poznato je da je 80% zločina vezanih uz krađu, oštećenje ili narušavanje informacija počinjeno uz sudjelovanje zaposlenika Društva. Stoga je najvažniji zadatak vodstva, Odjel za osoblje i sigurnosne službe je pažljiv odabir zaposlenika, raspodjelu ovlasti i izgradnja sustava upisa na elemente informacija, kao i kontrolu discipline i ponašanja zaposlenika, stvarajući dobru moralnu klimu u timu.

Organizacijska sredstva Informacijska zaštita su posebne organizacijske i tehničke i pravne aktivnosti provedene u procesu stvaranja i upravljanja sustavom koji integriraju zaštitu informacija.

Zakonodavstvoalati za zaštitu informacija definirani su kao zakonodavni akti koji reguliraju postupak za uporabu i obradu informacija, ograničenja pristupa i koje uspostavljaju odgovornost i sankcije za kršenje ovih pravila.

Tehnička sredstva su podijeljeni fizički (brave, rešetke, sustavi signalizacije itd.) I hardver(brave, zaključavanje, alarmi i drugi uređaji koji se koriste izravno na način računalne tehnologije i sredstva podataka). Softver Zaštita informacija je posebne alate za zaštitu informacija ugrađeni u softver sustava i neovisno ili u kompleksu s drugim sredstvima za zaštitu informacija u sustavu.

Softveralati za sigurnost informacija:

1. Softver identifikacija korisnika i određivanje svojih ovlasti.
2. Softver identifikacija terminala.
3. Softver zaštita datoteka.
4. Softver oS Zaštita, računalo i korisničke programe.
5. Pomoćni programi za različite namjene.

Kriptografski proizvodi Informacijska sigurnost - Posebne metode kodiranja, šifriranje ili druge konverzije informacija kao rezultat toga sadržaj postaje nedostupni bez predstavljanja nekih posebnih informacija i obrnute transformaciju. Upotreba kriptografskih metoda postala je posebno relevantna u vezi s prijenosom velikih količina javnih, vojnih, komercijalnih i privatnih informacija na otvorenoj mreži. Zbog visokih troškova štete od gubitka, objavljivanja i izobličenja informacija pohranjenih u bazama podataka i prenose se u lokalnim mrežama, preporučuje se pohranjivanje i prijenos informacija u šifriranom obliku.

Kriptografski sustav- Obitelj otvorenih algoritama pretvorbe teksta u šifretekstu.

Abeceda- Konačni setovi koji se koriste za kodiranje informacija o informacijama. Kao primjeri abeceda koji se koriste u modernim informacijskim sustavima, mogu se donijeti sljedeće:

• abeceda Z33 - 32 slova ruske abecede i prostora;
• abeceda Z256 - simboli uključeni u standardne ASCII kodove;
• binarna abeceda - Z2 \u003d (0,1).

Šifriranje uključuje pretvaranje izvora teksta pomoću ključa za šifriranog teksta T. Ključ- zamjenjivi element za šifriranje, koji se primjenjuje na šifriranje određene poruke. Kada se šifriraju, koristi se pojam "cipher gama" - to je pseudo-slučajni numerički slijed generiran s danim algoritmom, kako bi se šifrirali otvoreni podaci i dešifriraju širozi.

Prilikom prirode uporabe ključa, poznati kriptosustavi mogu se podijeliti u dvije vrste: simetričan (Čvrsto, s tajnim ključem) i asimetrični(otvorite ključ).

U prvom slučaju, isti ključ se koristi u koderu pošiljatelja i dekoderu primatelja. Koder formira široku koji je funkcija otvorenog teksta, specifični pogled na funkciju šifriranja određuje tajni ključ. Poruka primatelj dekoder obavlja obrnutu transformaciju na isti način. Tajni ključ se čuva u tajnosti i prenosi pošiljatelj poruke primatelju preko zaštićenog kanala, isključujući presretanje ključa protivnika kriptonalita.

Šifriranje se provodi zamjenom i permutacijskim metodama. Najjednostavnije, ali ne i dekompatibilno šifriranje - uz zamjenu tekstualnih simbola na slučajnim znakovima ili brojevima. U tom slučaju duljina ključeva mora odgovarati duljini teksta, što je nezgodno s velikim količinama informacija. Ključ se koristi jednom, a zatim je uništen, tako da se ova metoda naziva "šifriranje s neredom".

U stvarnosti, šifriranje se vrši u binarnom kodu koristeći kratke tipke - u međunarodnom standardu des (standard šifriranja podataka), koji radi sa 64 bajtovima 64 blokova podataka (1998), u GOST 28147 - 89 - 256 bajtova, koji osigurava značajno veću kriptostilnost , Na temelju kratkog ključa, računalo stvara dugačak ključ-gamut, koristeći jedan od nekoliko algoritama navedenih u Standardama za šifriranje des ili GOST. Algoritmi za stvaranje gama - požar temelje se na nizu zamjena i smjena, moguće je pomoću šifrtnext. Algoritmi šifriranja nisu tajna, samo ključevi su izlučeni. Distribuirati ključeve ključa uobičajena uporaba Primijenjena je sljedeća tehnologija: Prvi ključevi s rangom prenosi se kroz kurieri, šifrirani su i prenose preko svojih mreža koje su ključevi drugog rang koristili za šifriranje dokumenata.

Najmoderniji sustavi za šifriranje koriste asimetrične algoritme s otvorenim i tajnim ključevima, gdje nema problema sigurnog prijevoza ključa. Takvi sustavi uključuju RSA algoritam koji se zove programeri (RIVEST-SHAMIR-Adleman - programeri ovog sustava Ronalda Rivest, Adi Shamir i Leonard Adbroman, 1977), na temelju ekspanzije velikih brojeva na množitelja.

U asimetrični kriptosustavi (Otvorite ključne kriptosustave) U algoritmima šifriranja i dešifriranja, koriste se različiti ključevi, od kojih se svaki ne može dobiti od drugog s prihvatljivim troškovima privremenih i drugih resursa. Jedan ključ je otvoren - koristi se za šifriranje informacija, drugi je tajna - za dešifriranje, tj. Pročitaj poruku može samo jedan kome je namijenjen, na primjer, šef tvrtke primaju poruke od brojnih agenata.

Elektronski sustavi potpisana temelju asimetričnog šifriranja, ali tajni ključ pohranjuje se po pošiljatelju poruka, a otvoreni ključ stvoren na temelju tajne matematičke transformacije, mnogi imaju. Javni ključ može se prenijeti s porukom. No, u ovom slučaju, poruka nije šifrirana, a njegova hash funkcija dobivena iz poruke pretvaranjem na određeni algoritam i zauzima samo nekoliko bajtova. Promijenite barem jedan bit u tekstu poruke dovodi do značajne promjene u hash funkciji. Primatelj poruke može dešifrirati šifriranu hash funkciju prenesenu s porukom, stvoriti hash funkciju primljene poruke pomoću dobro poznatog algoritma i usporedite dešifrirane i rekreatirane hash funkcije. Njihova slučajnost jamči integritet primljenog dokumenta, tj. Odsutnost izobličenja u njemu. Primatelj ne može izvršiti izmjene primljenog dokumenta, jer ne može šifrirati novu hash funkciju. Stoga elektronički potpis ima istu pravnu snagu kao i uobičajeni potpis i ispis na papiru. Tajni i otvoreni ključevi, programi i oprema za elektroničke sustave potpisa opskrbe licenciranog FSB-a tvrtki, koji, ako je potrebno, može podnijeti kopiju ključeva Sudu.

Postoje dvije glavne metode zaštite: Softver i hardver. Metoda zaštite softvera je dobra u tome s relativno niskim troškovima, možete dobiti program koji osigurava potrebnu pouzdanost pohrane informacija. No, softverski alati imaju nekoliko značajnih nedostataka, koji bi trebali biti poznati pri odabiru ovog puta:

• obično rade sporiji hardver;
• može se otvoriti bilo koji program, to je samo pitanje vremena i kvalifikacija stručnjaka;
• kada su mediji pronevjereni, program je otet.

Hardver također ima brojne nedostatke: njihov razvoj je skuplji, dodani su troškovi proizvodnje i održavanja, hardverski sustav je složeniji i također zahtijeva softver uz hardver.

No, prednosti korištenja hardvera su očite:

• brzi rad bez sustava sustava;
• nemoguće je prodrijeti u hardverski program bez njegovog pronevjera;
• nema hardvera, nemoguće je dešifrirati zaštićene podatke.

7.4. Zakonodavna djela u području zaštite informacija

Rusija poduzima mjere za borbu protiv informacijskog oružja i računalnog kriminala. U državnoj dumu Ruske Federacije postoji zamjenik grupe "Elektronska Rusija", okrugli stolovi za informacijske sigurnosti održavaju se kako bi se razvili relevantni zakoni. Zakon Ruske Federacije "o sigurnosti", zakon "o elektroničkom potpisu" i "o informacijama, informatizaciji i zaštiti informacija", koji određuje da su informacije podložne zaštiti, kao i materijalnu imovinu vlasnika. Pružanje sigurnog prijenosa državnih informacija prethodno je bio angažiran u FSB-u, sada FSB i FSO, zaštita komercijalnih informacija - tvrtki koje imaju licencu FSB. Razvijen je vodeći dokument Državnog Državnog povjerenstva Ruske Federacije "Automatizirani sustavi. Zaštita od neovlaštenog pristupa informacijama. Klasifikacija automatiziranih sustava i zahtjeva za zaštitu informacija »i relevantni državni standardi:

GOST 28147-89. Sustavi za obradu informacija. Kriptografska zaštita. Algoritam kriptografskog transformacije;

GOST R 34. 10-94. Informacijska tehnologija. Kriptografske zaštite informacija. Postupke za razvoj i provjeru elektroničkog digitalnog potpisa na temelju asimetričnog kriptografskog algoritma;

GOST R 34. 11-94. Informacijska tehnologija. Kriptografske zaštite informacija. Funkcija hashing;

Gost r 50739-95. Računalna oprema. Zaštita od neovlaštenog pristupa informacijama. Opći tehnički zahtjevi.

Od 2004. godine došlo je do novog standarda nacionalne sigurnosti GOST / ISO IEC 15408 - 2002. Opći kriteriji za procjenu sigurnosti informacijske tehnologije.

Godina rađanja standarda može se smatrati 1990-ima - tada je tada počeo na stvaranju standarda za procjenu sigurnosti informacijskih tehnologija (IT) pod pokroviteljstvom Međunarodne organizacije za standardizaciju (ISO). Ovaj dokument je preveden i uzet kao osnova za razvoj GOST / ISO IEC 15408 - 2002. godine. Naziv standarda se razvio povijesno. Rad na njemu provedeno je uz pomoć državne organizacije Prema standardizaciji Sjedinjenih Država, Kanade, Velike Britanije, Francuske, Njemačke i Nizozemske i slijedili su sljedeće konceptualne ciljeve:

• ujedinjenje različitih nacionalnih standarda u procjeni informatičke sigurnosti;
• poboljšanje razine povjerenja u procjeni sigurnosti;
• smanjenje troškova procjene sigurnosti na temelju uzajamnog priznavanja certifikata.

Ruski standard je točan prijevod međunarodni standard, Usvojen je od strane rješenja državnog standarda Rusije od 04.04.2002. 133-prostora s datumom provedbe 1. siječnja 2004. Pojava ovog GOST-a ne odražava ne samo proces poboljšanja ruskih standarda koji koriste međunarodno iskustvo, Međutim, i dio Vladinog programa o pristupanju Rusije WTO-u (kao što je dobro poznato, kada se pridružuje ovoj organizaciji, podnositelj zahtjeva mora biti ujedinjene dužnosti, porezi, standardi proizvodnje, standardi kvalitete i nekim standardima u području informacijske sigurnosti).

Unutar okvira novog standarda uvedeni su pojmovi "prijetnji" i "profila".

Profil zaštite - "neovisno o provedbi sigurnosnih zahtjeva za neku kategoriju proizvoda ili IT sustava koji zadovoljava specifične zahtjeve potrošača."

Svi sigurnosni mehanizmi opisani u profilu nazivaju se sigurnosnim značajkama objekata (FBO). Profil zaštite uključuje samo one sigurnosne značajke koje moraju biti zaštićene od prijetnji i poštuju sigurnosne politike.

Sigurnosne pretpostavke su opis specifičnih uvjeta u kojima će sustav biti upravljan. Sigurnosna politika - "jedan ili više pravila, postupaka, praktične tehnike ili smjernice u području sigurnosti vođeni organizacijom u svojim aktivnostima." Općenito, takav skup pravila je vrsta funkcionalnosti softverskih proizvoda koji je potreban za njegovu uporabu u određenoj organizaciji.

Jedan od najubalnijih i održivijih dokumenata je unutar-industrijski standard Banke Rusije na IB. Njegov najnovije izdanje (2006) ukazuje na eksplicitnu namjeru središnje banke za promjenu preporuke dokumenta za obvezni status.

7.5. Standard za zaštitu informacija u području bankovnih kartica

Industrija za platne kartice Industry Security Standard (PCI DSS) je standard za zaštitu informacija u industriji platne kartice koju su razvili međunarodne vize i mastercard platne sustave.

Odluka o stvaranju ovog jedinstvenog standarda usvojila je međunarodni sustavi plaćanja zbog sve većeg broja tvrtki koje su izvijestile da su njihove povjerljive informacije o računima svojih klijenata izgubljene ili ukradene.

Standardni ciljevi:

• povećanje sigurnosti elektroničkih sustava trgovanja i plaćanja;
• osiguravanje sigurnog okruženja za spremanje podataka o karticama;
• smanjenje nedosljednosti u sigurnosnim zahtjevima u industriji platnih kartica;
• modernizacija i racionalizacija poslovnih procesa i smanjenje troškova.

Zahtjevi standarda PCI DSS-a distribuiraju se svim tvrtkama koje rade s međunarodnim platnim sustavima Visa i MasterCard. Ovisno o broju transakcija svake tvrtke, svaka tvrtka dodjeljuje određenu razinu s odgovarajućim skupom zahtjeva koje moraju obavljati. Kao dio zahtjeva standarda predviđene su godišnje revizije poduzeća, kao i kvartalne mrežne skenirane.

Od rujna 2006., standardni standard PCI podatkovne sigurnosti uveden je od strane međunarodnog sustava za plaćanje viznog plaćanja u regiji HEMEA kao obvezni, odnosno, njegova se radnja odnosi na Rusiju. Stoga pružatelji usluga (centri za obradu, pristupnici za plaćanje, pružatelji internetskih usluga) koji izravno rade iz Visneta moraju donijeti postupak revizije za usklađenost sa zahtjevima standarda. Inače, Visa će primijeniti određene kazne za tvrtke.

Pitanja za samopouzdanje

1. Koja je glavna razlika između zaštite bankovnih računalnih sustava iz zaštite industrijskih računalnih sustava?
2. Koje se aktivnosti mogu pripisati mjerama organizacijske zaštite?
3. Što je načelo "zatvorenih vrata" u bankama i zašto se u ovom trenutku ne može učinkovito primjenjivati?
4. Kako se sredstvo zaštite može pripisati fizičkoj?
5. Koji sustavi, analitički ili operativni, zahtijevaju temeljitije metode zaštite i zašto?
6. Koje su metode kriptografske transformacije teksta?
7. Koji je ključ?
8. Dati definiciju "gamminga". Zašto je potrebno?
9. Što je kodiranje s "suzanjem prijenosno računalo" i zašto to sada nije primjenjivo?
10. Koja je duljina ključa kod kodiranja pomoću DES standarda?
11. Je li ključna duljina razlikuje se na ruskim standardima od Internationala? Što je ona?
Naziv radionice bilješka

Prezentacije

Ime prezentacije	bilješka