Dom / Sbierbank / Metody ochrony informacji w systemie bankowym. Bezpieczeństwo informacji bankowych. Wirus ochrona
27.07.2020

Metody ochrony informacji w systemie bankowym. Bezpieczeństwo informacji bankowych. Wirus ochrona

Artykuł poświęcony jest zapewnieniu bezpieczeństwa informacji w instytucjach bankowych w oparciu o wymogi regulacyjne standardy branżowe Banku Rosji STO BR IBBS-1.0-2014. Wybrane aspekty ochrony w zautomatyzowanych systemach bankowych (ABS), zagadnienia ochrony danych osobowych w sektorze bankowym, audyt wewnętrzny i samoocena pod kątem zgodności z wymaganiami IS, a także niektóre cechy i obszary problemowe związane ze specyfiką bezpieczeństwa informacji w banki są brane pod uwagę.

Wstęp

Nie jest tajemnicą, że banki są podstawą systemu kredytowego i finansowego państwa oraz najważniejszą instytucją finansową we współczesnym społeczeństwie. W związku z tym nakłada się na nich specjalne wymagania dotyczące zapewnienia bezpieczeństwa informacji. Do czasu pojawienia się krajowych branżowych standardów bezpieczeństwa informacji STO BR IBBS, banki zarządzały bezpieczeństwem w oparciu o przepisy wewnętrznego dokumenty normatywne... Ale nawet po przyjęciu tych dokumentów wiele kwestii pozostało do rozwiązania. Niektóre z poruszanych w artykule zagadnień dotyczą usunięcia wąskich gardeł systemu IS banków oraz dostosowania polityki bezpieczeństwa do nowych wymagań, z uwzględnieniem istniejącego „bagażu” w zakresie ochrony informacji.

Tworzenie standardów IS Banku Rosji

W Rosji do połowy lat 2000 słowo "bezpieczeństwo" związane głównie z zarządzaniem „Ryzyko bankowe”, tj. kontrola sytuacji, które mogłyby doprowadzić do poniesienia przez instytucję kredytową strat i/lub pogorszenia jej płynności w wyniku wystąpienia niekorzystnych zdarzeń. Kategorie takie jak "Bezpieczeństwo informacji" lub „ochrona informacji” nie istniała w zasadzie. Jedynie ustawa federalna „O bankowości” z 02.12.1990 N 395-1 FZ w art. 26 Tajemnica bankowa dała ograniczone prawo i możliwość ochrony poufnych informacji w sektorze bankowym. Ponad dekadę później prawnicy krajowi wydali 29 lipca 2004 r. ustawę federalną „O tajemnicy handlowej” N 98-FZ, która ostatecznie pozwala w pełni zadeklarować nowy rodzaj działalności i odrębną kategorię zagadnień, takich jak „bezpieczeństwo informacji banki."

W tych samych latach w krajowej społeczności bankowej pojawiły się tendencje do przyjmowania międzynarodowych standardów bankowych, w szczególności standardu Bazylea II. W swojej interpretacji standard ten traktował bezpieczeństwo informacji jako ryzyko operacyjne i generalnie wymagał środków audytu i kontroli sfery informacyjnej, co było absolutną nowością dla rosyjskich banków w tamtym czasie. To jednak nie wystarczyło – rozwój nowoczesnych technologii informatycznych i ciągła chęć oferowania nowości produkty bankowe rynek wymagał poświęcenia większej uwagi tym kwestiom.

Kolejnym ewolucyjnym kamieniem milowym w rozwoju był rok 2004 wraz z wydaniem Bank Centralny Rosja, pierwsza edycja pakietu krajowych standardów branżowych dotyczących bezpieczeństwa informacji STO BR IBSS. Standard Banku Centralnego dotyczący bezpieczeństwa IT uznawany był wówczas za najlepszy standard branżowy, ponieważ zawierał najlepsze światowe doświadczenia i praktyki, łączy w sobie główne postanowienia standardów zarządzania bezpieczeństwem IT (ISO 17799, 13335), reguluje opis koło życia kryteria oceny oprogramowania i bezpieczeństwa IT (GOST R ISO / IEC 15408-1-2-3). Dokument odzwierciedla również technologie oceny zagrożeń i podatności, niektóre zapisy brytyjskiej metodologii oceny ryzyka informacyjnego CRAMM (patrz Rysunek 1).

Rysunek 1. Związek między różnymi wymaganiami i standardami dotyczącymi IT, bezpieczeństwa i nadzoru

Wśród głównych postanowień standardu Banku Centralnego można było zauważyć orientację na rozwiązanie problemu insiderów. W tym celu Bank Rosji konsoliduje kontrolę nad obiegiem informacji poufnych w środowisku korporacyjnym. Dużą uwagę przywiązuje się do zagrożeń zewnętrznych: zapisy standardu wymagają od banków posiadania ochrony antywirusowej z regularnie aktualizowanymi bazami danych, narzędziami do filtrowania spamu, kontroli dostępu, uregulowania procedur audytu wewnętrznego, stosowania szyfrowania w celu ochrony przed nieautoryzowanym dostępem itp.

Mimo tych wszystkich oczywistych zalet, standard miał charakter rekomendacyjny – jego postanowienia mogły być stosowane przez banki krajowe tylko na zasadzie dobrowolności. Niemniej jednak, zgodnie z wynikami ankiety respondentów reprezentowanych na III konferencji międzybankowej, istniała wyraźna tendencja do przyjęcia tych dokumentów jako obowiązkowej podstawowej podstawy dla rosyjskich banków.

Równolegle z rozwojem standardów bankowych w połowie pierwszej dekady XXI wieku w Rosji trwał proces tworzenia ustawodawstwa krajowego w dziedzinie bezpieczeństwa informacji. Kluczowy punkt aktualizacja ustawy federalnej „O informacji, technologiach informacyjnych i ochronie informacji” z dnia 27 lipca 2006 r. N 149-FZ, która podaje nowe odpowiednie definicje informacji, technologii informacyjnych i procesów, ma osobny nagłówek poświęcony „ochronie informacji”. Podążając za nim osobna kategoria w praktyce ochrony informacji zaznaczyła się publikacja ustawy „O danych osobowych” z dnia 27 lipca 2006 r. N 152-FZ.

Biorąc pod uwagę wszystkie te innowacje i zmieniające się realia społeczne, ukazały się również nowe edycje STO BR IBBS. Tak więc w trzecim wydaniu normy z 2008 r. pakiet dokumentów został znacznie zmieniony, wprowadzono nowe terminy i koncepcje, wyjaśniono i uszczegółowiono niektóre wymagania bezpieczeństwa; zaktualizowane wymagania dotyczące systemu zarządzania bezpieczeństwem informacji. Norma zyskała również własny model zagrożeń i naruszeń bezpieczeństwa informacji organizacji RF BS. Wprowadzono nowe bloki zgodnie z wymogami bezpieczeństwa informacji w zautomatyzowanych systemach bankowych, uregulowano proces płatności bankowych i procesy technologiczne informacji, a odrębnie mówi się o stosowaniu środków kryptograficznej ochrony informacji.

Na tle ostatnich wydarzeń na świecie w 2014 r. oraz sankcji gospodarczych nałożonych przez państwa zachodnie na Rosję widać wyraźną tendencję do rozwoju i przejścia do krajowego systemu kart płatniczych. To w związku z tym stawia dodatkowe wymagania dotyczące niezawodności i bezpieczeństwa takich systemów, co pociąga za sobą wzrost znaczenia krajowych norm IS.

Efektem tych wszystkich wydarzeń była kolejna reedycja standardu. A w czerwcu 2014 roku weszła w życie zaktualizowana piąta i jak dotąd ostatnia edycja STO BR IBBS - 2014. V Nowa edycja naprawiono wady poprzednich wydań i, co bardzo ważne, wymagania i zalecenia stacji paliw zostały dostosowane do opisanego powyżej 382-P. Na przykład wyjaśniono listę operacji wymagających rejestracji w RBS, rozszerzono listę informacji chronionych na podstawie P-382, tabelę korespondencji prywatnych wskaźników oceny z STO i wskaźników z bieżącego wydania 382 -P jest podane.

Równie znaczącym osiągnięciem była zaktualizowana baza wymogów regulacyjnych, uwzględniająca najnowsze zmiany w ustawodawstwie w dziedzinie ochrony danych osobowych, a mianowicie dodano linki do dekretu rządowego nr 1119 i rozporządzenia FSTEC nr 21.

Wszystko to stworzyło jednolitą platformę metodologiczno-regulacyjną zapewniającą kompleksowe bezpieczeństwo informacji z uwzględnieniem specyfiki bankowości. Pakiet dokumentów STO BR IBBS wyizolowany Rosyjskie banki zbudowali w nich system bezpieczeństwa z branżowego punktu widzenia, ale jednocześnie wchłonęli najlepsze światowe praktyki i doświadczenie zagranicznych kolegów w zapewnianiu bezpieczeństwa informacji.

Bezpieczeństwo informacji w bankach z uwzględnieniem STO BR IBBS-2014

Obecnie, na zlecenie Banku Rosji, pakiet dokumentów STO BR IBBS składa się z następujących części:

  1. STO BR IBBS-1.2-2014. „Metodyka oceny zgodności bezpieczeństwa informacji organizacji systemu bankowego Federacji Rosyjskiej z wymaganiami STO BR IBBS-1.0-2014 (wydanie 4)”;

Ponadto Bank Rosji opracował i wprowadził następujące zalecenia w zakresie standaryzacji bezpieczeństwa informacji:

  1. RS BR IBBS-2.0-2007. „Zalecenia metodyczne dotyczące dokumentacji z zakresu bezpieczeństwa informacji zgodnie z wymaganiami STO BR IBBS-1.0”;
  2. RS BR IBBS-2.1-2007. „Wytyczne dotyczące samooceny zgodności bezpieczeństwa informacji organizacji systemu bankowego Federacji Rosyjskiej z wymaganiami STO BR IBBS-1. 0";
  3. RS BR IBBS-2.2-2009. „Metodyka oceny ryzyka naruszenia bezpieczeństwa informacji”;
  4. RS BR IBBS-2.5-2014. Zarządzanie incydentami związanymi z bezpieczeństwem informacji

Pierwsze trzy dokumenty są obowiązkowe dla wszystkich banków, które przyjęły ten standard jako swoją podstawową politykę. Dokument "Postanowienia ogólne" są podstawą do tworzenia wszelkich środków ochrony informacji. Cała konstrukcja podzielona jest na osobne bloki. Opisują szczegółowo wymagania dotyczące zapewnienia bezpieczeństwa, podają konkretne listy środków ochrony dla konkretnego bloku. (patrz tabela 1)

Tabela 1. Wymagania dotyczące bezpieczeństwa informacji

- przy wyznaczaniu i przypisywaniu ról oraz zapewnianiu zaufania do personelu;
- w zautomatyzowanych systemach bankowych (ABS) na etapach cyklu życia;
- przy zarządzaniu dostępem i rejestracją użytkowników;
- do środków ochrony antywirusowej;
- podczas korzystania z zasobów Internetu;
- przy korzystaniu ze środków ochrony informacji kryptograficznej;
- w bankowych procesach technologicznych płatności;
- do przetwarzania danych osobowych;
- wymagania dotyczące systemu zarządzania bezpieczeństwem informacji podane są w osobnym nagłówku.

Dokument „Audyt bezpieczeństwa informacji” najmniejsza ze wszystkich wskazuje na potrzebę przeprowadzenia audytu systemu bezpieczeństwa informacji, a także daje odniesienie do rocznej samooceny zgodnie z wymaganiami normy. Dane końcowej samooceny stanowią podstawę zarówno formularza sprawozdawczego w przypadku weryfikacji przez Bank Centralny, jak i stwierdzenia zgodności poziomu bezpieczeństwa systemu bezpieczeństwa informacji banku ze zidentyfikowanymi ryzykami i zagrożeniami SI .

I ostatni rozważany dokument „Metodyka oceny zgodności z wymaganiami SI”- jest to zestaw metod oceny i tabel wraz z odpowiadającymi im polami do wypełnienia. Każdemu środkowi i środkowi ochrony przypisuje się pewną wagę w ocenie, zwaną wskaźnikiem grupowym. Na podstawie wyników wskaźników grupowych budowany jest wykres kołowy zgodności z wymaganiami STO BR IBBS (patrz Rysunek 2). Wszystkie wartości wskaźników grupowych mieszczą się w przedziale od 0 przed 1 , w którym do określenia sumy przydziela się 6 kolejnych poziomów zgodności z normą, zaczynając od zera. Bank Rosji zalecił poziomy 4 i 5 (zob. wykres 2). W związku z tym im wyższa wartość, tym bezpieczniejszy system. Na wykresie kołowym sektory te są zielone, a czerwony jest wskaźnikiem poziomu krytycznego.

Rysunek 2. Wykres kołowy zgodności z wymaganiami STO BR IBBS

Co jeszcze można dodać – sporo uwagi poświęca się procesom zarządzania systemem bezpieczeństwa informacji, w szczególności, Cykl Deminga stosowane przez menedżerów najwyższego szczebla w zarządzaniu jakością (rysunek 3).

Rysunek 3. Cykl Deminga dla ISIB STO BR IBBS

W nowej edycji Bank Rosji zaktualizował metodologię oceny zgodności bezpieczeństwa informacji. Główne zmiany wpłynęły na podejście do oceny:

  • wszystkie wymagania są teraz przypisane do jednej z trzech klas ( dokumentowanie, wydajność , dokumentacja i wykonanie);
  • ocena wskaźników grupowych określana jest jako średnia arytmetyczna (nie ma wag poszczególnych wskaźników);
  • wprowadzono pojęcie współczynników korekcyjnych, które wpływają na oceny w obszarach i zależą od liczby całkowicie niespełnionych wymagań normy;
  • wartość wskaźnika M9 ( Ogólne wymagania na przetwarzanie danych osobowych) obliczany jest przez ogólny schemat(a nie jako minimum wartości napływających wskaźników prywatnych w poprzedniej wersji standardu).

Warto zauważyć, że znacznie więcej uwagi zaczęto przykładać do dokumentowania procedur bezpieczeństwa w wewnętrznych regulacjach banków. Zatem nawet jeśli procedura nie jest faktycznie przeprowadzana, ale dostarczona i udokumentowana, zwiększa to wynik audytu wewnętrznego.

W porównaniu z poprzednią edycją wzrosła liczba poszczególnych wskaźników, a także zmieniły się wartości wag szacunków (por. wykres 4).

Rysunek 4. Zmiany w poprzedniej i obecnej wersji STO BR IBBS (wg InfoConstal Management, www.Km-ltd.com, 2014)

Warto wspomnieć o jeszcze jednym ważnym dodatku dotyczącym wbudowanych mechanizmów ochronnych w ABS – Bank Rosji wydał rekomendacje „Zapewnienie bezpieczeństwa informacji na etapach cyklu życia zautomatyzowanych systemów bankowych” (RS BR IBBS-2.6-2014 ) ”. Ich istota polega na tym, że obecnie banki mogą, powołując się na ten dokument, stawiać deweloperom wymagania dotyczące funkcjonalności oprogramowania w zakresie mechanizmów ochrony. Nie wolno nam zapominać, że to są rekomendacje, a nie wymagania, a sam Bank Rosji nie może niczego narzucać, ale pozwala na nadawanie tych rekomendacji w imieniu środowiska bankowego, a to już zmiana na lepsze.

Ochrona danych osobowych w bankach

Przed wydaniem V edycji STO BR IBBS-2014 ochrona danych osobowych w bankach opierała się na dwóch dokumentach: BR IBBS-2.3-2010. „Wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych w systemy informacyjne dane osobowe organizacji systemu bankowego Federacji Rosyjskiej ”i RS BR IBBS-2.4-2010. „Sektorowy prywatny model zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych organizacji systemu bankowego Federacji Rosyjskiej”.

W praktyce wyglądało to tak: nie zmienili modelu zagrożeń sektora prywatnego zaproponowanego przez Bank Centralny, według: wytyczne określił wymagania dotyczące ochrony każdego ISPD, zarówno w oparciu o ilość, jak i listę przetwarzanych danych, a następnie zbudował na ich podstawie listę niezbędnych środków.

Główny ból głowy dla specjalistów wcześniej Dziś było to, że wymagania te obowiązywały do ​​następnej edycji STO BR IBBS - 2014, chociaż w tym czasie ochrona danych osobowych była już uregulowana zgodnie z PP-1119 i zarządzeniem FSTEC nr 21. W związku z tym, że banki muszą przestrzegać przyjętego pakietu STO BR IBBS, wiele z nich nie stosowało nowoczesnych metod iw efekcie nie odpowiadało nowym realiom bezpieczeństwa.

Wraz z wydaniem tych dwóch wyżej wymienionych dokumentów regulacyjnych sytuacja zmieniła się na lepsze – zniesiono niektóre rygorystyczne wymagania licencyjne, uproszczono procedury klasyfikacji ISPD, a operatorowi PD przyznano większe uprawnienia do wyboru środków ochronnych. Wymagania dotyczące ochrony ISPD określa tabela korelacji „poziomu bezpieczeństwa” i stosowane wobec nich procedury bezpieczeństwa, których szczegóły zostały przedstawione w Rozporządzeniu nr 21 FSTEC. Umożliwiło to zniwelowanie różnic w metoda ochrony PD w standardzie branżowym Banku Centralnego i ogólnym ustawodawstwie rosyjskim.

W zaktualizowanym standardzie pojawił się nowy termin „Zasób PD”, dla którego sformułowano wymagania dotyczące dokumentowania niektórych procedur związanych z przetwarzaniem danych osobowych (rozdział 7.10). Osobno rozpatrywano kwestie związane z niszczeniem danych osobowych: organizacjom dano możliwość zniszczenia PD nie natychmiast, ale okresowo, ale przynajmniej raz na sześć miesięcy.

Roskomnadzor oddzielnie wprowadził wyjaśnienia dotyczące biometrycznego PD, na przykład zdjęcia pracowników, jeśli są wykorzystywane do celów kontroli dostępu lub są wyświetlane na stronie internetowej firmy jako publicznie dostępne informacje o kierownictwie, nie podlegają reżimowi szczególnych wymogów ochrony.

Banki, które wcześniej spełniały wymagania dotyczące ochrony PD według starego standardu, aby spełnić nowe wymagania, muszą dostosować swoje wewnętrzne dokumenty regulacyjne, dokonać reklasyfikacji i przekierować ISPD oraz, zgodnie z poziomem bezpieczeństwa, określić dla siebie nowa lista środków ochronnych. Pragnę zauważyć, że obecnie banki mają większą swobodę w doborze środków i metod ochrony, jednak nadal obowiązkowe jest stosowanie środków bezpieczeństwa informacji sortowanych przez FSTEC.

Bezpieczeństwo informacji krajowego systemu płatniczego

Krajowy System Płatniczy (KPS) w obliczu ostatnich wydarzeń staje się obszarem coraz bardziej priorytetowym w polityce wewnętrznej państwa. Prezydent Rosji Władimir Putin podpisał ustawę o osiedleniu się w Rosji system krajowy kart płatniczych (NSPK) oraz zapewnienie sprawnego działania międzynarodowych systemów płatniczych. Operator NSPK jest utworzony w formie OJSC, którego 100% aktywów należy do Banku Rosji. Celem projektu jest dostarczenie infrastruktury i informacji do zamknięcia procesu wdrożenia przekazy pieniężne na terenie Rosji, w celu zabezpieczenia terytorialnego na terenie kraju centrów operacyjnych i centrów rozliczeniowych.

W rzeczywistości, zanim prawo zostało uchwalone, pieniądze mogły pojawiać się znikąd i znikać znikąd. Wraz z wydaniem prawa sytuacja się zmienia, NPC umożliwia śledzenie wszystkiego transakcje pieniężne, w tym finansowanie wątpliwych transakcji i transakcji oszukańczych, które mogą zagrażać bezpieczeństwu obywateli lub całego kraju. Ponadto wycofanie się z obrotu gotówkowego, zdaniem rządu, to kolejny krok w walce z przekupstwem.

W trosce o bezpieczeństwo KSE wydano cały szereg regulaminów, wśród których znalazło się podstawowe rozporządzenie w sprawie ochrony informacji w systemie płatności” z dnia 13.06.2012 nr 584. Ale w większym stopniu rozporządzenie w sprawie wymagań dotyczących zapewnienia ochrony informacji podczas dokonywania przelewów, wydane przez właściwy departament Banku Rosji, jest zgodne ... ”z dnia 09.06.2012 N 382-P)

Wraz z aktualizacją P-382 trendy w ochronie są teraz przesunięte na bok:

  • korzystanie z bankomatów i terminali płatniczych;
  • korzystanie z plastikowych kart płatniczych;
  • korzystanie z Internetu (zdalne usługi bankowe(RBS) i bankowości mobilnej);
  • wymagania dotyczące procedury tworzenia i dystrybucji specjalistycznego oprogramowania przeznaczonego do użytku przez klienta przy przekazywaniu środków;
  • co było bardzo zachęcające, rozszerzenie wymagań w celu zwiększenia świadomości klientów na temat możliwych zagrożeń uzyskania nieuprawnionego dostępu do chronionych informacji oraz zalecanych działań w celu ich ograniczenia;
  • wymogi dotyczące konieczności klasyfikacji bankomatów i terminali płatniczych, których wyniki należy brać pod uwagę przy wyborze środków ochrony;
  • procedury zawieszenia płatności przez operatora przekazów pieniężnych w przypadku oznak nieuczciwej działalności;
  • przewidziano procedury ochrony przed współczesnymi zagrożeniami bezpieczeństwa, takimi jak: skimming (za pomocą specjalistycznych narzędzi, które zapobiegają nieautoryzowanemu odczytaniu śladów kart płatniczych; ochrona usług znajdujących się w Internecie przed atakami z zewnątrz (ataki DoS); ochrona przed phishingiem (przed fałszywymi Zasoby internetowe) ).
  • wymóg używania kart płatniczych wyposażonych w mikroprocesor od 2015 r. oraz zakaz wydawania kart bez mikroprocesora po 1 stycznia 2015 r.;
  • 29 nowych wskaźników oceny.

Bezpieczeństwo informacji systemów płatności

Podobna sytuacja powstaje przy użyciu plastikowe karty... Międzynarodowym standardem bezpieczeństwa jest Payment Card Industry Data Security Standard (PCI DSS), który został opracowany przez PCI SSC. Obejmuje takie marki kart jak Visa, MasterCard, American Express, JCB i Discovery.

PCI DSS opisuje wymagania dotyczące ochrony danych posiadaczy kart, pogrupowane w dwanaście sekcji tematycznych. Główny nacisk w standardzie PCI DSS kładzie się na zapewnienie bezpieczeństwa infrastruktury sieciowej oraz ochronę przechowywanych danych posiadaczy kart płatniczych jako miejsc najbardziej narażonych na zagrożenia prywatności. Należy również zauważyć, że norma reguluje zasady bezpiecznego rozwoju, obsługi i eksploatacji systemów płatniczych, w tym procedury ich monitorowania. Nie mniej ważna rola norma wyznacza opracowanie i obsługę bazy dokumentów normatywnych systemu zarządzania bezpieczeństwem informacji.

Międzynarodowe systemy płatnicze zobowiązują organizacje podlegające wymaganiom normy do poddawania się regularnej weryfikacji zgodności z tymi wymaganiami, co prędzej czy później może mieć wpływ na NSPK. Jednak certyfikacja rosyjskich banków zgodnie z zagranicznym standardem PCI DSS przebiegała dość wolno i dziś nie ma odpowiednika krajowego.

Spełniając jednak wymagania P-382 i najnowszą rewizję STO BR IBBS-2014 można w dużej mierze przygotować się do certyfikacji PCI DSS, ponieważ wiele jej zapisów pokrywa się z wymaganiami dokumentu krajowego: zabezpieczenia antywirusowe, szyfrowanie, filtrowanie za pomocą zapór ogniowych, różnicowanie dostępu, śledzenie sesji komunikacyjnych, a także monitorowanie, audyt i zarządzanie systemem bezpieczeństwa informacji (patrz Rysunek 5).

Rysunek 5. Porównanie kategorii chronionych informacji według różnych standardów (według Ural Center for Security Systems, www.usssc.ru, 2014)

W przeciwieństwie do wszystkich standardów zagranicznych, rosyjski 382-P ma na celu stymulowanie krajowych twórców i producentów produktów bezpieczeństwa informacji (SIS), na przykład poprzez zobowiązanie podmiotów NPS do zapewnienia korzystania z niekryptograficznego SIS przed nieuprawnionym dostępem, w tym tych, które przeszła procedurę oceny zgodności zgodnie z ustaloną procedurą. Jednocześnie wyraźnie dozwolone jest stosowanie decyzji produkcji zagranicznej.

Ponadto Bank Rosji wzmacnia kontrolę nad zgodnością ustalone zasady... W swoim dokumencie Zarządzenie Nr 2831-U z dnia 09.06.2012 „W sprawie raportowania o bezpieczeństwie informacji w systemach płatniczych…” wyraźnie wskazuje, w jakiej formie i z jaką częstotliwością podmioty systemów płatniczych powinny raportować o stanie bezpieczeństwa informacji w systemach płatniczych .

Pomimo popularności i powszechnego stosowania PCI DSS, istnieją inne międzynarodowe standardy bezpieczeństwa systemów awaryjnych, o których również chciałbym trochę powiedzieć. Jednym z nich jest standard PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard), który określa wymagania stawiane aplikacjom przetwarzającym dane posiadacza karty oraz proces ich tworzenia. A drugi – standard Payment Card Industry PIN Transaction Security (PCI PTS), dawniej PCI PED, dotyczy producentów, którzy ustalają i wdrażają parametry techniczne oraz system sterowania dla urządzeń obsługujących zestaw kodów PIN i służących do realizacji płatności transakcje kartami.

wnioski

STO BR IBBS to bardzo ważny kamień milowy na ewolucyjnej ścieżce rozwoju krajowego systemu bezpieczeństwa informacyjnego. To jeden z pierwszych standardów branżowych dostosowanych do rosyjskich realiów. Oczywiście nie jest to panaceum na wszystkie kłopoty, wciąż jest wiele problemów, z którymi borykają się specjaliści, ale to pierwsze i bardzo udane doświadczenie, które przybliża nas do standardów najlepszych praktyk zagranicznych.

Spełniając wymagania standardu, wiele banków przygotowuje się do międzynarodowej certyfikacji bezpieczeństwa systemów płatności PCI DSS. Zapewnij ochronę danych osobowych zgodnie z najnowszymi wymogami regulacyjnymi. Roczny Audyt wewnętrzny pozwala na obiektywne sprawdzenie ochrony banków przed istotnymi ryzykami i zagrożeniami bezpieczeństwa informacji, a menedżerom na efektywniejsze planowanie budowy i zarządzania zintegrowanym systemem ochrony.

Mamy nadzieję, że dotychczasowe niedociągnięcia i oczywiste błędy zostaną poprawione w kolejnych wydaniach, których premiera nie jest odległa. Już wiosną 2015 roku czeka na nas zaktualizowany P-382, a mogą nastąpić zmiany w kompleksie BR IBBS. Tymczasem jesteśmy zadowoleni z październikowego wydania „Standardu operacji finansowych” TC 122 i nie zapominamy, że bez względu na to, jak dobre są wszystkie wysiłki wyższych władz, nasze bezpieczeństwo wciąż jest w naszych rękach!

Powolżski Uniwersytet stanowy usługa

Alshanskaya Tatyana Vladimirovna, kandydatka nauk pedagogicznych, profesor nadzwyczajny Wydziału Informatyki Stosowanej w Ekonomii, Państwowy Uniwersytet Usługowy w Wołdze

Adnotacja:

Ten artykuł odzwierciedla obecny stan metod ochrony informacji. sektor bankowy i perspektywy jej rozwoju. Artykuł ujawnia główne zagrożenia dla bezpieczeństwa informacyjnego banków. Podano środki ochrony informacji w banku, które należy wykonać, aby stworzyć skuteczny system ochrony.

Artykuł odzwierciedla aktualny stan metod ochrony informacji sektora bankowego oraz perspektywy jego rozwoju. W artykule omówiono główne zagrożenia bezpieczeństwa informacji banków. Przedstawia środki ochrony informacji w banku, które należy wykonać w celu stworzenia skutecznego systemu ochrony.

Słowa kluczowe:

Bank; Bezpieczeństwo informacji; ochrona informacji.

bezpieczeństwo informacji; bezpieczeństwo informacji.

UDC 338,14

Działalność każdego banku jest bezpośrednio uzależniona od szybkości, z jaką wymieniane są w nim informacje oraz w jakim stopniu budowany jest system bezpieczeństwa informacji. Skutki słabo rozwiniętej infrastruktury bankowej są katastrofalne: bank może stracić nie tylko bazę klientów, ale także ich zaufanie. Zderzenie z tym zadaniem doprowadziło do powstania najnowszych koncepcji bezpieczeństwa informacji, które zostały opracowane zgodnie z warunkami instytucji kredytowych. Dlatego badanie systemów bezpieczeństwa informacji w sektorze bankowym jest pilnym zadaniem.

Zgodnie z art. 19 ustawy federalnej „O informacji, technologiach informacyjnych i ochronie informacji” z dnia 27 lipca 2006 r. Nr 149-FZ, ochrona informacji to przyjęcie środków prawnych, organizacyjnych i technicznych mających na celu zapewnienie ochrony informacji przed nieuprawnionym dostępem, zniszczeniem , modyfikowanie, blokowanie, kopiowanie, udostępnianie, rozpowszechnianie, a także inne nielegalne działania w odniesieniu do takich informacji, przestrzeganie poufności informacji o ograniczonym dostępie, a także korzystanie z prawa dostępu do informacji.

Ochrona danych Bankowość zawiera wdrożenie jednego zestawu środków - od audytu bezpieczeństwa informacji po tworzenie koncepcji bezpieczeństwa dla różnych usług bankowych. Eksperci w tej dziedzinie są gotowi stworzyć dokładnie zarówno niezależny moduł bezpieczeństwa, jak i kompletną skoncentrowaną koncepcję systemu ochrony danych.

W procesie realizacji głównych funkcji służby ochrony informacji pojawiają się problemy, których rozwiązanie jest słabo sformalizowane. W tym przypadku możliwe jest skorzystanie z metod teorii systemów i analizy systemów, mających na celu wzmocnienie intuicji i doświadczenia specjalistów.

Jednym ze sposobów ochrony informacji banku jest kontrola przepływu i rejestracji informacji niejawnych. Najważniejszym w tym problemie jest stworzenie niezwykle bezpiecznych alternatyw dla wymiany plików w banku.

W celu ochrony informacji banku stosuje się koncepcje identyfikacji charakteryzujące dostępność praw dostępu do danych. W tym celu wykorzystywany jest system haseł umożliwiający wejście do sieci lokalnej banku. Mogą być wybierane przez użytkownika, generowane przez system lub przypisywane mu przez kierownika ochrony. Dodatkowo dostępne są plastikowe karty z chipem. Za pomocą specjalnego algorytmu system koduje i wprowadza indywidualne dane konkretnego użytkownika. Klucze elektroniczne działają w kontakcie z mechanizmem na drzwiach zainstalowanych w tajnych pomieszczeniach, na serwerach i komputerach użytkowników.

Ochrona informacji banku będzie działać niezawodnie tylko wtedy, gdy system w odpowiednim czasie wykryje zagrożenia zewnętrzne. W środowisku zewnętrznym systemy współdzielą następujące typy zagrożeń informacyjnych, tab. 1.

Tabela 1. Rodzaje zagrożeń informacji w środowisku zewnętrznym

Nazwa zagrożenia

Charakterystyka

naruszenie integralności fizycznej

zniszczenie, zniszczenie elementów

naruszenie integralności logicznej

zniszczenie połączeń logicznych

modyfikacja treści

zmiana bloków informacji, zewnętrzne narzucanie fałszywych informacji

Naruszenie poufności

zniszczenie ochrony, zmniejszenie stopnia bezpieczeństwa informacji

naruszenie własności informacji

nieautoryzowane kopiowanie

Planowanie systemów ochrony danych dla firmy powinno pomóc w ograniczeniu prawdopodobnych negatywnych skutków związanych z korzystaniem z technologii informatycznych oraz zapewnić realizację kluczowych celów i zadań instytucji pożyczkowej. Budowanie modeli przy projektowaniu lub modernizacji systemów ochrony danych w bankach jest naturalnym sposobem rozwiązywania problemów analityczno-projektowych przy najniższych kosztach i znaczących zyskach. Banki stosują model intruza bezpieczeństwa informacji, który obejmuje:

  1. Opis osób naruszających bezpieczeństwo informacji;
  2. Klasyfikacja osób naruszających bezpieczeństwo informacji;
  3. Opis doświadczenia i wiedzy przestępców;
  4. Opis dostępnych zasobów wymaganych do wdrożenia zagrożenia;
  5. Opis możliwej motywacji działań sprawcy;
  6. Sposoby wdrażania zagrożeń bezpieczeństwa informacji ze strony określonych naruszycieli.

Do budowy modelu intruza wykorzystuje się informacje ze służby bezpieczeństwa, pionów ryzyka oraz służby kontroli wewnętrznej banku o istniejących środkach dostępu do informacji i ich przetwarzaniu, o możliwych sposobach przechwycenia danych na etapie przesyłania, przetwarzania i przechowywanie, o sytuacji w zespole i na chronionym obiekcie, informacje o konkurencji i sytuacji na rynku, o incydentach kradzieży informacji itp. ...

Ponadto oceniane są rzeczywiste operacyjne możliwości techniczne sprawcy w celu wywarcia wpływu na koncepcję ochrony lub chronionego obiektu. Przez możliwości techniczne rozumie się listę różnych środków technicznych, jakie sprawca może posiadać w toku działań wymierzonych w system bezpieczeństwa informacji.

Podsumowując, należy zauważyć, że efektywne wykorzystanie modeli jest dopuszczalne tylko przy wysokiej jakości danych wyjściowych niezbędnych do opisu modeli przy rozwiązywaniu problemów ochrony. W tym przypadku istotne jest, że przytłaczająca ilość danych początkowych ma wysoki stopień niepewności. Z tego powodu konieczne jest nie tylko tworzenie niezbędnych danych, ale także ich regularna ocena i konkretyzacja.

Lista bibliograficzna:


1. Alshanskaya, TV Zastosowanie metod analizy systemów przez specjalistów ds. bezpieczeństwa informacji [Tekst] / TV Alshanskaya. Systemy i technologie informacyjne: zarządzanie i bezpieczeństwo: zbiór artykułów. Sztuka. III międzynarodowa korespondencyjna konferencja naukowo-praktyczna / Państwo Wołgi. usługa un-t. - Togliatti: Wydawnictwo PVGUS, 2014 .-- 348 s.
2. Trofimova, V. V. Systemy i technologie informacyjne w ekonomii i zarządzaniu [Tekst] / V.V. Trofimowa. M .: Yurayt, 2012 .-- 521 s.
3. Ustawa federalna „O informacji, technologiach informacyjnych i ochronie informacji” z dnia 27 lipca 2006 r. Nr 149-FZ

Działalność bankowa zawsze kojarzyła się z przetwarzaniem i przechowywaniem dużej ilości poufnych danych. Przede wszystkim są to dane osobowe klientów, ich depozytów i wszystkich wykonywanych operacji.

Wszystkie informacje handlowe przechowywane i przetwarzane w instytucjach kredytowych są narażone na wiele różnych ryzyk związanych z wirusami, awarią sprzęt komputerowy, awarie systemu operacyjnego itp. Ale te problemy nie są w stanie spowodować żadnych poważnych szkód. Codzienny backup danych, bez którego działanie systemu informatycznego każdego przedsiębiorstwa jest nie do pomyślenia, ogranicza do minimum ryzyko nieodwracalnej utraty informacji. Ponadto metody ochrony przed tymi zagrożeniami są dobrze rozwinięte i powszechnie znane. Dlatego na pierwszy plan wysuwają się zagrożenia związane z nieuprawnionym dostępem do informacji poufnych (NSD).

Nieautoryzowany dostęp to rzeczywistość

Obecnie istnieją trzy najpopularniejsze metody kradzieży poufnych informacji. Po pierwsze, fizyczny dostęp do miejsc przechowywania i przetwarzania. Tutaj jest wiele opcji. Na przykład intruzi mogą w nocy włamać się do biura banku i ukraść dyski twarde ze wszystkimi bazami danych. Możliwy jest nawet nalot zbrojny, którego celem nie są pieniądze, ale informacja. Nie jest wykluczona sytuacja, w której sam pracownik banku może wywieźć nośnik informacji poza terytorium.

Po drugie, korzystanie z kopii zapasowych. Większość banków posiada systemy tworzenia kopii zapasowych na taśmach dla krytycznych danych. Tworzone przez siebie kopie zapisują na taśmach magnetycznych, które następnie są przechowywane w oddzielnym miejscu. Dostęp do nich jest znacznie spokojniejszy. Podczas ich transportu i przechowywania stosunkowo duża liczba osób może wykonać ich kopie. Nie można lekceważyć zagrożeń związanych z tworzeniem kopii zapasowych danych wrażliwych. Na przykład większość ekspertów jest przekonana, że ​​bazy transakcyjne, które pojawiły się na rynku w 2005 roku Banku Centralnego RF zostały skradzione właśnie dzięki kopiom z taśm magnetycznych. W światowej praktyce znanych jest wiele takich incydentów. W szczególności we wrześniu ubiegłego roku pracownicy Chase Card Services (oddział JPMorgan Chase & Co.), dostawcy karty kredytowe, przez pomyłkę zrzucił pięć zapasowych taśm zawierających informacje o 2,6 milionach posiadaczy kont kredytowych Circuit City.

Po trzecie, najbardziej prawdopodobnym sposobem wycieku poufnych informacji jest nieautoryzowany dostęp pracowników banku. Używając tylko standardowych narzędzi systemu operacyjnego do rozdzielania uprawnień, użytkownicy często mają możliwość pośredniego (za pomocą określonego oprogramowania) skopiowania całych baz danych, z którymi pracują i wyniesienia ich z firmy. Czasami pracownicy robią to bez złośliwych intencji, po prostu po to, by pracować z informacjami w domu. Jednak takie działania są poważnym naruszeniem polityki bezpieczeństwa i mogą (i stać się!) powodem ujawnienia poufnych danych.

Ponadto w każdym banku znajduje się grupa osób z podwyższonymi uprawnieniami w sieci lokalnej. Mówimy o administratorach systemu. Z jednej strony potrzebują go do wypełniania swoich obowiązków służbowych. Ale z drugiej strony mają możliwość uzyskania dostępu do wszelkich informacji i „zatarcia śladów”.

Tak więc system ochrony informacje bankowe przed nieautoryzowanym dostępem powinien składać się z co najmniej trzech podsystemów, z których każdy zapewnia ochronę przed własnym rodzajem zagrożeń. Jest to podsystem ochrony przed fizycznym dostępem do danych, podsystem zapewnienia bezpieczeństwa kopii zapasowych oraz podsystem ochrony przed insiderami. I wskazane jest, aby nie zaniedbywać żadnego z nich, ponieważ każde zagrożenie może spowodować ujawnienie poufnych danych.

Prawo nie jest napisane do banków?

Obecnie działalność banków reguluje ustawa federalna „O bankach i działalności bankowej”. Wprowadza m.in. pojęcie „tajemnicy bankowej”. Zgodnie z nim każda instytucja kredytowa jest zobowiązana do zapewnienia poufności wszystkich danych dotyczących depozytów klientów. Za ich ujawnienie odpowiada m.in. za naprawienie szkód spowodowanych wyciekiem informacji. Jednocześnie nie ma wymagań dotyczących bezpieczeństwa bankowych systemów informatycznych. Oznacza to, że banki podejmują wszelkie decyzje dotyczące ochrony danych handlowych samodzielnie, w oparciu o doświadczenie swoich specjalistów lub firm zewnętrznych (np. przeprowadzających audyt bezpieczeństwa informacji). Jedyną rekomendacją jest standard Banku Centralnego Federacji Rosyjskiej „Zapewnienie bezpieczeństwa informacyjnego organizacji systemu bankowego Federacji Rosyjskiej. Postanowienia ogólne ". Po raz pierwszy pojawił się w 2004 r., a w 2006 r. przyjęto nową wersję. Przy tworzeniu i finalizowaniu tego wydziałowego dokumentu wykorzystano aktualne rosyjskie i międzynarodowe standardy w dziedzinie bezpieczeństwa informacji.

Bank Centralny Federacji Rosyjskiej może jedynie polecić go innym bankom, ale nie może nalegać na obowiązkowe wdrożenie. Ponadto w normie jest kilka jasnych wymagań, które determinują wybór konkretnych produktów. Z pewnością jest to ważne, ale w ten moment nie ma poważnego praktyczny... Na przykład o certyfikowanych produktach mówi: „… można użyć certyfikowanych lub autoryzowanych środków ochrony informacji przed nieautoryzowanym dostępem”. Nie ma odpowiedniej listy.

Wymienione w normie i wymagania dotyczące kryptograficznych środków ochrony informacji w bankach. I tutaj jest już mniej lub bardziej jasna definicja: „CIPF ... musi być wdrażany w oparciu o algorytmy spełniające krajowe standardy Federacji Rosyjskiej, warunki umowy z kontrahentem i (lub) standardy organizacji ”. Możesz potwierdzić zgodność modułu kryptograficznego z GOST 28147-89 poprzez certyfikację. Dlatego w przypadku korzystania z systemów szyfrowania w banku zaleca się korzystanie z dostawców oprogramowania lub sprzętu do szyfrowania certyfikowanych przez FSB Federacji Rosyjskiej, czyli zewnętrznych modułów, które łączą się z oprogramowaniem i wdrażają sam proces szyfrowania.

W lipcu ubiegłego roku przyjęto ustawę federalną Federacji Rosyjskiej „O danych osobowych”, która weszła w życie 1 stycznia 2007 r. Niektórzy eksperci kojarzyli z nim pojawienie się bardziej szczegółowych wymagań dla bankowych systemów bezpieczeństwa, gdyż banki są organizacjami przetwarzającymi dane osobowe. Jednak samo prawo, które z pewnością w ogóle jest bardzo ważne, nie ma obecnie zastosowania w praktyce. Problem tkwi w braku standardów ochrony danych prywatnych i organów, które mogłyby kontrolować ich wdrażanie. Oznacza to, że okazuje się, że obecnie banki mają swobodę wyboru systemów ochrony informacje handlowe.

Ochrona przed dostępem fizycznym

Banki tradycyjnie przykładają dużą wagę do fizycznego bezpieczeństwa biur operacyjnych, magazynów itp. Wszystko to zmniejsza ryzyko nieuprawnionego dostępu do informacji handlowych poprzez dostęp fizyczny. Jednak urzędy banków i Budynki techniczne serwery hostingowe zazwyczaj nie różnią się stopniem ochrony od biur innych firm. Dlatego, aby zminimalizować opisane zagrożenia, konieczne jest zastosowanie systemu ochrony kryptograficznej.

Obecnie na rynku dostępnych jest wiele narzędzi do szyfrowania danych. Jednak specyfika ich przetwarzania w bankach nakłada dodatkowe wymagania na odpowiednie oprogramowanie. Po pierwsze, w systemie ochrony kryptograficznej musi zostać zaimplementowana zasada transparentnego szyfrowania. Podczas korzystania z niego dane w pamięci głównej są zawsze tylko w postaci zaszyfrowanej. Dodatkowo technologia ta pozwala zminimalizować koszty regularnej pracy z danymi. Nie muszą być codziennie odszyfrowywane i szyfrowane. Dostęp do informacji odbywa się za pomocą specjalnego oprogramowania zainstalowanego na serwerze. Automatycznie odszyfrowuje informacje podczas uzyskiwania do nich dostępu i szyfruje je przed zapisaniem na dysku twardym. Operacje te wykonywane są bezpośrednio w pamięci RAM serwera.

Po drugie, bankowe bazy danych są bardzo obszerne. Dlatego system ochrony informacji kryptograficznej powinien działać nie z wirtualnymi, ale z rzeczywistymi partycjami dysków twardych, macierzami RAID i innymi nośnikami pamięci serwera, na przykład z pamięciami masowymi SAN. Faktem jest, że pliki kontenerów, które można podłączyć do systemu jako dyski wirtualne, nie są zaprojektowane do pracy z dużymi ilościami danych. W przypadku, gdy wirtualny dysk utworzony z takiego pliku ma duży rozmiar, gdy jednocześnie uzyskuje do niego dostęp nawet kilka osób, można zaobserwować znaczne zmniejszenie szybkości odczytu i zapisu informacji. Praca kilkudziesięciu osób z dużymi teczkami kontenerowymi może przerodzić się w udrękę. Należy również pamiętać, że te obiekty są zagrożone uszkodzeniem z powodu wirusów, awarii systemu plików itp. Przecież w rzeczywistości są to zwykłe pliki, ale raczej duże. A nawet niewielka zmiana w nich może doprowadzić do niemożności odszyfrowania wszystkich zawartych w nich informacji. Oba te obowiązkowe wymagania znacznie zawężają gamę produktów odpowiednich do wdrożenia zabezpieczeń. W rzeczywistości dzisiaj o godz Rynek rosyjski istnieje tylko kilka takich systemów.

Nie ma potrzeby szczegółowego rozważania technicznych cech systemów serwerowych do kryptograficznej ochrony informacji, ponieważ w jednym z poprzednich numerów porównaliśmy już te produkty. (Stolyarov N., Davletkhanov M. Ochrona UTM.) Warto jednak zwrócić uwagę na niektóre cechy takich systemów, których obecność jest pożądana dla banków. Pierwsza związana jest ze wspomnianą już certyfikacją wykorzystywanego modułu kryptograficznego. Większość banków posiada już odpowiednie oprogramowanie lub sprzęt. Dlatego system ochrony informacji serwerów powinien przewidywać możliwość ich podłączenia i wykorzystania. Drugim szczególnym wymogiem dla systemu bezpieczeństwa informacji jest możliwość integracji z fizycznym systemem bezpieczeństwa biura i/lub serwerowni. Pozwala to chronić informacje przed nieautoryzowanym dostępem związanym z kradzieżą, włamaniem itp.

Banki powinny zwracać szczególną uwagę na bezpieczeństwo informacji, ponieważ są to tak naprawdę pieniądze klientów. Dlatego system ochrony musi zapewniać specjalne funkcje, które minimalizują ryzyko jego utraty. Jedną z najbardziej godnych uwagi jest funkcja wykrywania uszkodzonych sektorów na dysku twardym. Ponadto duże znaczenie ma możliwość wstrzymania i anulowania początkowych procesów szyfrowania, deszyfrowania i ponownego szyfrowania dysku. Są to dość długie procedury, każda awaria podczas której grozi całkowitą utratą wszystkich danych.

Czynnik ludzki ma bardzo duży wpływ na zagrożenia związane z nieuprawnionym dostępem do informacji poufnych. Dlatego pożądane jest, aby system ochrony przewidywał możliwość zmniejszenia takiej relacji. Osiąga się to dzięki zastosowaniu niezawodnych sposobów przechowywania kluczy szyfrujących - kart inteligentnych lub kluczy USB. Optymalne jest umieszczenie tych tokenów w produkcie, pozwala to nie tylko na optymalizację kosztów, ale także zapewnia pełną kompatybilność oprogramowania i sprzętu.

Kolejną ważną funkcją minimalizującą wpływ czynnika ludzkiego na niezawodność systemu bezpieczeństwa jest kworum kluczowe. Jego istota polega na podzieleniu klucza szyfrującego na kilka części, z których każda jest przekazywana do użytku jednemu odpowiedzialnemu pracownikowi. Do podłączenia zamkniętego dysku wymagana jest określona liczba części. Co więcej, może być mniejsza niż całkowita liczba kluczowych części. Takie podejście pozwala chronić dane przed niewłaściwym wykorzystaniem przez odpowiedzialnych pracowników, a także zapewnia elastyczność niezbędną do pracy banku.

Ochrona kopii zapasowej

Regularne tworzenie kopii zapasowych wszystkich informacji przechowywanych w banku jest absolutnie niezbędnym środkiem. Pozwala na znaczne ograniczenie strat w przypadku problemów takich jak uszkodzenie danych przez wirusy, awaria sprzętu itp. Ale jednocześnie zwiększa ryzyko związane z nieautoryzowanym dostępem. Praktyka pokazuje, że nośniki, na których zapisywane są kopie zapasowe, nie powinny być przechowywane w serwerowni, ale w innym pomieszczeniu lub nawet budynku. W przeciwnym razie, w przypadku pożaru lub innego poważnego zdarzenia, zarówno same dane, jak i ich archiwa mogą zostać bezpowrotnie utracone. Tylko kryptografia może niezawodnie chronić kopie zapasowe przed nieautoryzowanym użyciem. W takim przypadku, trzymając klucz szyfrujący w domu, pracownik ochrony może bezpiecznie przenieść nośnik z archiwami do personelu technicznego.

Główną trudnością w organizacji ochrony kryptograficznej kopii zapasowych jest konieczność rozdzielenia odpowiedzialności za zarządzanie archiwizacją danych. Administrator systemu lub inny technik powinien sam skonfigurować i wdrożyć proces tworzenia kopii zapasowej. Szyfrowaniem informacji powinien zarządzać odpowiedzialny pracownik – pracownik ochrony. Należy rozumieć, że redundancja w przeważającej większości przypadków odbywa się automatycznie. Problem ten można rozwiązać jedynie poprzez „osadzenie” systemu ochrony kryptograficznej między systemem zarządzania kopiami zapasowymi a urządzeniami zapisującymi dane (streamery, napędy DVD itp.).

Aby więc móc z nich korzystać w bankach, produkty kryptograficzne powinny mieć również możliwość współpracy z różnymi urządzeniami służącymi do zapisywania kopii zapasowych na nośnikach pamięci: streamerami, napędami CD i DVD, wymiennymi dyskami twardymi itp.

Obecnie istnieją trzy rodzaje produktów zaprojektowanych w celu zminimalizowania ryzyka związanego z nieautoryzowanym dostępem do kopii zapasowych. Pierwsza obejmuje urządzenia specjalne. Takie rozwiązania sprzętowe mają wiele zalet, m.in. niezawodne szyfrowanie informacji i dużą szybkość działania. Mają jednak trzy istotne wady, które uniemożliwiają ich stosowanie w bankach. Po pierwsze: bardzo wysoki koszt (dziesiątki tysięcy dolarów). Po drugie: możliwe problemy z importem do Rosji (nie możemy zapominać, że mówimy o środkach kryptograficznych). Trzecią wadą jest brak możliwości podłączenia do nich zewnętrznych certyfikowanych dostawców kryptowalut. Karty te działają tylko z algorytmami szyfrowania zaimplementowanymi w nich na poziomie sprzętowym.

Druga grupa systemów ochrony kryptograficznej dla kopii zapasowych to moduły, które oferują swoim klientom twórcy oprogramowania i sprzętu do wykonywania kopii zapasowych. Istnieją one dla wszystkich najbardziej znanych produktów w tej dziedzinie: ArcServe, Veritas Backup Exec itp. To prawda, że ​​mają również swoje własne cechy. Najważniejszą rzeczą jest praca tylko z „swoim” oprogramowaniem lub dyskiem. Tymczasem system informatyczny banku nieustannie ewoluuje. Możliwe, że wymiana lub rozbudowa systemu backupu może wymagać dodatkowych kosztów modyfikacji systemu ochrony. Ponadto większość produktów z tej grupy implementuje stare algorytmy powolnego szyfrowania (na przykład 3DES), nie ma narzędzi do zarządzania kluczami i nie ma możliwości łączenia zewnętrznych dostawców szyfrowania.

Wszystko to zmusza nas do zwrócenia bacznej uwagi na systemy ochrony kryptograficznej kopii zapasowych z trzeciej grupy. Obejmuje specjalnie opracowane oprogramowanie, oprogramowanie oraz sprzęt i produkty sprzętowe, które nie są powiązane z konkretnymi systemami archiwizacji danych. Obsługują szeroką gamę urządzeń rejestrujących informacje, co pozwala na ich wykorzystanie w całym banku, w tym we wszystkich jego oddziałach. Gwarantuje to, że stosowana ochrona jest spójna, a koszty operacyjne są ograniczone do minimum.

Należy jednak zauważyć, że pomimo wszystkich ich zalet, na rynku jest bardzo niewiele produktów z trzeciej grupy. Wynika to najprawdopodobniej z braku dużego zapotrzebowania na systemy ochrony kryptograficznej kopii zapasowych. Gdy kierownictwo banków i innych dużych organizacji zda sobie sprawę z realnych zagrożeń związanych z archiwizacją informacji biznesowych, liczba graczy na tym rynku będzie rosła.

Ochrona poufnych

Ostatnie badania w dziedzinie bezpieczeństwa informacji, takie jak coroczna ankieta CSI/FBI Computer Crime And Security Survey wykazały, że straty finansowe firm z większości zagrożeń maleją z roku na rok. Istnieje jednak kilka zagrożeń, z których straty rosną. Jednym z nich jest umyślna kradzież informacji poufnych lub naruszenie zasad postępowania z nimi przez pracowników, których dostęp do danych handlowych jest niezbędny do wykonywania swoich obowiązków służbowych. Nazywają się wtajemniczeni.

W zdecydowanej większości przypadków kradzież poufnych informacji odbywa się za pomocą nośników mobilnych: płyt CD i DVD, urządzeń ZIP oraz, co najważniejsze, wszelkiego rodzaju napędów USB. To ich masowa dystrybucja doprowadziła do rozkwitu wiedzy poufnych na całym świecie. Liderzy większości banków doskonale zdają sobie sprawę z tego, co może być zagrożone, np. dostaniem bazy danych z danymi osobowymi swoich klientów czy też transakcjami na ich rachunkach w ręce struktur przestępczych. I próbują poradzić sobie z ewentualną kradzieżą informacji dostępnymi im metodami organizacyjnymi.

Jednak metody organizacyjne są w tym przypadku nieskuteczne. Dziś możliwe jest zorganizowanie przesyłania informacji między komputerami za pomocą miniaturowego dysku flash, telefonu komórkowego, odtwarzacza mp3, aparatu cyfrowego ... Oczywiście możesz spróbować zabronić wnoszenia wszystkich tych urządzeń do biura , ale to, po pierwsze, negatywnie wpłynie na relacje z pracownikami, a po drugie, nadal bardzo trudno jest ustanowić naprawdę skuteczną kontrolę nad ludźmi – bank to nie „skrzynka pocztowa”. Nie pomoże nawet wyłączenie wszystkich urządzeń na komputerach, które mogą być używane do zapisywania informacji na nośnikach zewnętrznych (dyski FDD i ZIP, napędy CD i DVD itp.) oraz porty USB. W końcu te pierwsze są potrzebne do pracy, a te drugie są podłączone do różnych urządzeń peryferyjnych: drukarek, skanerów itp. I nikt nie może uniemożliwić osobie wyłączenia drukarki na minutę, włożenia dysku flash do wolnego portu i skopiowania do niego ważnych informacji. Możesz oczywiście znaleźć oryginalne metody ochrony. Na przykład w jednym banku wypróbowali tę metodę rozwiązania problemu: wypełnili połączenie portu USB i kabla żywicą epoksydową, mocno „przywiązali” ten ostatni do komputera. Ale na szczęście istnieją dziś bardziej nowoczesne, niezawodne i elastyczne metody sterowania.

Najskuteczniejszym sposobem zminimalizowania ryzyka związanego z osobami z wewnątrz firmy jest specjalne oprogramowanie, które dynamicznie zarządza wszystkimi urządzeniami i portami na komputerze, które można wykorzystać do kopiowania informacji. Zasada ich pracy jest następująca. Dla każdej grupy użytkowników lub dla każdego użytkownika z osobna uprawnienia są ustawione na używanie różnych portów i urządzeń. Największą zaletą takiego oprogramowania jest jego elastyczność. Możesz nałożyć ograniczenia na określone typy urządzeń, ich modele i poszczególne instancje. Pozwala to na wdrożenie bardzo złożonych polityk dystrybucji praw dostępu.

Na przykład niektórym pracownikom można zezwolić na korzystanie z dowolnych drukarek i skanerów podłączonych do portów USB. Wszystkie inne urządzenia włożone do tego portu pozostaną niedostępne. Jeżeli bank korzysta z systemu uwierzytelniania użytkowników opartego na tokenie, to w ustawieniach można określić model używanego klucza. Wtedy użytkownicy będą mogli korzystać tylko z urządzeń zakupionych przez firmę, a wszystkie inne będą bezużyteczne.

Opierając się na zasadzie opisanych powyżej systemów ochrony, możesz zrozumieć, jakie punkty są ważne przy wyborze programów implementujących dynamiczne blokowanie urządzeń nagrywających i portów komputerowych. Po pierwsze, to wszechstronność. System ochrony powinien obejmować pełen zakres możliwych portów i urządzeń wejścia-wyjścia. W przeciwnym razie ryzyko kradzieży informacji handlowych pozostaje niedopuszczalnie wysokie. Po drugie, oprogramowanie, o którym mowa, powinno być elastyczne i umożliwiać tworzenie reguł z wykorzystaniem dużej ilości różnych informacji o urządzeniach: ich typach, producentach modeli, unikalnych numerach, które posiada każda instancja itp. I po trzecie, system ochrony informacji wewnętrznych powinien mieć możliwość integracji z systemem informatycznym banku, w szczególności z Active Directory. W przeciwnym razie administrator lub specjalista ds. bezpieczeństwa będzie musiał utrzymywać dwie bazy danych użytkowników i komputerów, co nie tylko jest niewygodne, ale także zwiększa ryzyko błędów.

Podsumowując

Tak więc dziś na rynku są produkty, z którymi każdy bank może się zorganizować niezawodny system ochrona informacji przed nieautoryzowanym dostępem i niewłaściwym wykorzystaniem. To prawda, że ​​​​wybierając je, musisz być bardzo ostrożny. Najlepiej byłoby, gdyby zrobili to nasi własni specjaliści na odpowiednim poziomie. Dozwolone jest korzystanie z usług osób trzecich. Jednak w tym przypadku możliwa jest sytuacja, gdy bankowi zostanie umiejętnie narzucone nie odpowiednie oprogramowanie, ale takie, które jest korzystne dla dostawcy. Ponadto krajowy rynek doradztwa w zakresie bezpieczeństwa informacji dopiero raczkuje.

Tymczasem dokonanie właściwego wyboru wcale nie jest trudne. Wystarczy uzbroić się w wymienione przez nas kryteria i dokładnie przestudiować rynek systemów bezpieczeństwa. Ale jest tu „pułapka”, o której należy pamiętać. Najlepiej byłoby, gdyby system bezpieczeństwa informacji banku był ujednolicony. Oznacza to, że wszystkie podsystemy powinny być zintegrowane z istniejącym systemem informacyjnym i najlepiej mieć wspólne zarządzanie. W przeciwnym razie nieuniknione są zwiększone koszty pracy związane z administracją ochrony i zwiększone ryzyko wynikające z błędów w zarządzaniu. Dlatego, aby zbudować wszystkie trzy opisane dzisiaj podsystemy ochrony, lepiej wybrać produkty wydane przez jednego dewelopera. Dziś w Rosji istnieją firmy, które tworzą wszystko, co niezbędne do ochrony informacji bankowych przed nieautoryzowanym dostępem.

Strategia bezpieczeństwa informacji banków bardzo różni się od podobnych strategii innych firm i organizacji. Wynika to przede wszystkim ze specyfiki zagrożeń, a także z publicznej działalności banków, które zmuszone są do ułatwienia dostępu do rachunków dla wygody klientów.

Zwykła firma buduje swoje bezpieczeństwo informacji w oparciu jedynie o wąski zakres potencjalnych zagrożeń – głównie ochronę informacji przed konkurencją (w realiach rosyjskich głównym zadaniem jest ochrona informacji przed Organy podatkowe oraz społeczności przestępczej w celu zmniejszenia prawdopodobieństwa niekontrolowanego wzrostu płatności podatków i haraczy). Takie informacje są interesujące tylko dla wąskiego kręgu zainteresowanych osób i organizacji i rzadko są płynne, tj. wymienialny na formę pieniężną.

Bezpieczeństwo informacji bankowych powinno uwzględniać następujące specyficzne czynniki:

1. Informacje przechowywane i przetwarzane w systemach bankowych to prawdziwe pieniądze. Na podstawie informacji z komputera można dokonywać płatności, otwierać pożyczki, przekazywać znaczne kwoty. Jest całkiem zrozumiałe, że nielegalna manipulacja takimi informacjami może prowadzić do poważnych strat. Cecha ta dramatycznie poszerza krąg przestępców wkraczających do banków (w przeciwieństwie np. do firm przemysłowych, których wewnętrzne informacje nikogo nie interesują).

2. Informacje w systemach bankowych wpływają na interesy dużej liczby osób i organizacji - klientów banku. Jest ogólnie poufny, a bank jest odpowiedzialny za zachowanie wymaganego stopnia tajemnicy wobec swoich klientów. Oczywiście klienci mają prawo oczekiwać, że bank zadba o ich interesy, w przeciwnym razie ryzykuje swoją reputację ze wszystkimi wynikającymi z tego konsekwencjami.

3. Konkurencyjność banku zależy od wygody współpracy klienta z bankiem oraz zakresu świadczonych usług, w tym usług związanych ze zdalnym dostępem. Dlatego klient powinien być w stanie szybko i bez żmudnych procedur zarządzać swoimi pieniędzmi. Ale ta łatwość dostępu do pieniędzy zwiększa prawdopodobieństwo przestępcy infiltracji systemów bankowych.

4. Bezpieczeństwo informacji banku (w przeciwieństwie do większości firm) musi zapewniać wysoką niezawodność systemów komputerowych nawet w sytuacjach awaryjnych, ponieważ bank odpowiada nie tylko za środki własne, ale również za pieniądze klientów.

5. Bank przechowuje ważne informacje o swoich klientach, co poszerza krąg potencjalnych intruzów zainteresowanych kradzieżą lub uszkodzeniem takich informacji.

Przestępstwa bankowe mają również swoje własne cechy:

    Wiele przestępstw popełnianych w sektorze finansowym pozostaje nieznanych opinii publicznej ze względu na to, że liderzy banków nie chcą przeszkadzać swoim akcjonariuszom, boją się narażać swoją organizację na nowe ataki, obawiają się zaszkodzić reputacji wiarygodnego magazynu środków, a w konsekwencji utratę klientów.

    Z reguły osoby atakujące korzystają z własnych kont, na które przelewane są skradzione kwoty. Większość przestępców nie wie, jak prać skradzione pieniądze. Wiedza, jak popełnić przestępstwo i wiedza, jak zdobyć pieniądze, to nie to samo.

    Większość przestępstw komputerowych to drobne przestępstwa. Obrażenia od nich wahają się od 10 000 do 50 000 USD.

    Udane przestępstwa komputerowe wymagają zwykle dużej liczby transakcji bankowych (do kilkuset). Jednak duże kwoty można przelać w zaledwie kilku transakcjach.

    Większość atakujących to urzędnicy. Chociaż najwyżsi pracownicy banku również mogą popełniać przestępstwa i wyrządzać bankowi znacznie większe szkody, takie przypadki zdarzają się rzadko.

    Przestępstwa komputerowe nie zawsze są zaawansowane technologicznie. Wystarczy sfałszować dane, zmienić parametry środowiska ASOIB itp., a działania te są również dostępne dla personelu serwisu.

    Wielu cyberprzestępców tłumaczy swoje działania tym, że po prostu pożyczają w banku z późniejszym zwrotem. Jednak z reguły nie ma „powrotu”.

Specyfika ochrony systemy zautomatyzowane przetwarzanie informacji przez banki (ASOIB) wynika ze specyfiki zadań, które rozwiązują:

    Z reguły ASOIB przetwarza duży strumień stale napływających żądań w czasie rzeczywistym, z których każde nie wymaga wielu zasobów do przetworzenia, ale wszystkie razem mogą być przetwarzane tylko przez system o wysokiej wydajności;

    ASOIB przechowuje i przetwarza informacje poufne, które nie są przeznaczone dla ogółu społeczeństwa. Jego fałszerstwo lub wyciek może prowadzić do poważnych (dla banku lub jego klientów) konsekwencji. Dlatego ASOIB są skazane na pozostanie względnie zamkniętymi, działając pod kontrolą konkretnego oprogramowania i przywiązując dużą wagę do zapewnienia ich bezpieczeństwa;

    Kolejną cechą ASOIB są zwiększone wymagania dotyczące niezawodności sprzętu i oprogramowania. Z tego powodu wiele współczesnych ASOIB skłania się ku tzw. architekturze fault-tolerant komputerów, która umożliwia ciągłe przetwarzanie informacji nawet w warunkach różnych awarii i awarii.

ASOIB rozwiązuje dwa rodzaje zadań:

1. Analityczne. Ten typ obejmuje planowanie zadań, analizę konta itp. Nie działają, a ich rozwiązanie może zająć dużo czasu, a ich wyniki mogą mieć wpływ na politykę banku w stosunku do konkretnego klienta lub projektu. Dlatego podsystem, który służy do rozwiązywania problemów analitycznych, musi być niezawodnie odizolowany od głównego systemu przetwarzania informacji. Do rozwiązania tego rodzaju problemów zwykle nie są potrzebne potężne zasoby obliczeniowe, zwykle wystarczy 10-20% mocy całego systemu. Jednak ze względu na potencjalną wartość wyników ich ochrona musi być trwała.

2. Codziennie. Ten typ obejmuje zadania, które rozwiązuje się w codziennych czynnościach, przede wszystkim dokonywanie płatności i regulowanie rachunków. To oni decydują o wielkości i pojemności głównego systemu banku; ich rozwiązanie wymaga zwykle znacznie więcej zasobów niż zadania analityczne. Jednocześnie wartość informacji przetwarzanych w rozwiązywaniu takich problemów jest tymczasowa. Stopniowo wartość informacji, np. o wykonaniu płatności, staje się nieistotna. Oczywiście zależy to od wielu czynników, takich jak: kwota i czas płatności, numer konta, dodatkowe cechy itp. Dlatego zwykle wystarczy zapewnić ochronę płatności w momencie jej realizacji. Jednocześnie ochrona samego procesu przetwarzania i efektów końcowych musi być stała.

Jakie środki ochrony systemów przetwarzania informacji preferują zagraniczni eksperci? Na to pytanie można odpowiedzieć, korzystając z wyników ankiety przeprowadzonej przez Datapro Information Group w 1994 roku wśród banków i instytucji finansowych:

    82% respondentów posiada sformułowaną politykę bezpieczeństwa informacji. W porównaniu z 1991 r. odsetek organizacji posiadających politykę bezpieczeństwa wzrósł o 13%.

    Kolejne 12% ankietowanych planuje opracowanie polityki bezpieczeństwa. Wyraźnie wyrażona jest następująca tendencja: organizacje z dużą liczbą pracowników wolą mieć rozwiniętą politykę bezpieczeństwa w w większym stopniu niż organizacje z mniejszą liczbą pracowników. Na przykład według tego badania tylko 66% organizacji zatrudniających mniej niż 100 pracowników posiada politykę bezpieczeństwa, podczas gdy w przypadku organizacji zatrudniających ponad 5000 pracowników odsetek takich organizacji wynosi 99%.

    W 88% organizacji, które posiadają politykę bezpieczeństwa informacji, za jej wdrożenie odpowiada dedykowana jednostka. W tych organizacjach, które nie posiadają takiej jednostki, funkcje te przypisuje się głównie administratorowi systemu (29%), menedżerowi systemu informatycznego (27%) lub służbie bezpieczeństwa fizycznego (25%). Oznacza to, że istnieje tendencja do rozdzielenia personelu odpowiedzialnego za bezpieczeństwo komputerowe do dedykowanej jednostki.

    W zakresie ochrony szczególną uwagę zwraca się na ochronę sieci komputerowych (90%), mainframe'ów (82%), odzyskiwanie informacji po awariach i katastrofach (73%), ochronę przed wirusami komputerowymi (72%), ochronę komputerów osobistych (69%).

Na temat cech ochrony informacji w języku obcym można wyciągnąć następujące wnioski: systemy finansowe :

    Najważniejsze w ochronie instytucji finansowych jest szybkie i, jeśli to możliwe, całkowite odzyskanie informacji po wypadkach i awariach. Około 60% ankietowanych instytucji finansowych posiada plan naprawczy, który w ponad 80% z nich jest corocznie aktualizowany. Zasadniczo ochronę informacji przed zniszczeniem osiąga się poprzez tworzenie kopii zapasowych i przechowywanie ich na zewnątrz, stosowanie zasilaczy awaryjnych i organizowanie „gorącej” rezerwy sprzętu.

    Kolejnym najważniejszym problemem dla instytucji finansowych jest zarządzanie dostępem użytkowników do przechowywanych i przetwarzanych informacji. Różny systemy oprogramowania kontrola dostępu, która czasami może zastąpić oprogramowanie antywirusowe. Stosowane jest głównie zakupione oprogramowanie kontroli dostępu. Ponadto w organizacjach finansowych szczególną uwagę zwraca się na takie zarządzanie użytkownikami w sieci. Jednak certyfikowane kontrole dostępu są niezwykle rzadkie (3%). Można to wytłumaczyć faktem, że certyfikowane oprogramowanie jest trudne w obsłudze i niezwykle kosztowne w eksploatacji. Wynika to z faktu, że parametry certyfikacji zostały opracowane z uwzględnieniem wymagań dla systemów wojskowych.

    Różnice w organizacji ochrony sieci komputerowych w organizacjach finansowych obejmują powszechne stosowanie standardowego (tj. dostosowanego, ale nie opracowanego specjalnie dla konkretnej organizacji) komercyjnego oprogramowania do kontroli dostępu do sieci (82%), ochrony punktów przyłączy do system za pośrednictwem łączy wdzwanianych (69%). Wynika to najprawdopodobniej z większego rozpowszechnienia telekomunikacji w sektorze finansowym i chęci ochrony przed ingerencją z zewnątrz. Inne metody ochrony, takie jak korzystanie z narzędzi antywirusowych, szyfrowanie przesyłanych danych metodą end-to-end i kanałem oraz uwierzytelnianie wiadomości są stosowane w przybliżeniu w ten sam sposób i ogólnie (z wyjątkiem narzędzi antywirusowych ), mniej niż 50% badanych organizacji.

    Dużo uwagi w organizacjach finansowych przywiązuje się do fizycznej ochrony pomieszczeń, w których znajdują się komputery (około 40%). Oznacza to, że ochrona komputerów przed dostępem osób nieuprawnionych rozwiązuje się nie tylko za pomocą oprogramowania, ale także organizacyjno-technicznego (zabezpieczenia, zamki szyfrowe itp.).

    Nieco ponad 20% instytucji finansowych korzysta z szyfrowania informacji lokalnych. Powodem tego jest złożoność dystrybucji kluczy, surowe wymagania dotyczące wydajności systemu oraz potrzeba szybkiego odzyskiwania informacji w przypadku awarii i awarii sprzętu.

    Znacznie mniej uwagi w instytucjach finansowych przywiązuje się do ochrony linie telefoniczne komunikacja (4%) oraz wykorzystanie komputerów opracowanych z uwzględnieniem wymagań standardu Tempest (zabezpieczenie przed wyciekiem informacji kanałami promieniowania elektromagnetycznego i zakłóceń). W organizacjach państwowych dużo więcej uwagi poświęca się rozwiązaniu problemu przeciwdziałania otrzymywaniu informacji za pomocą promieniowania elektromagnetycznego i zakłóceń.

Analiza statystyk pozwala na wyciągnięcie ważnego wniosku: ochrona organizacji finansowych (w tym banków) jest skonstruowana nieco inaczej niż zwykłe organizacje komercyjne i rządowe. W konsekwencji te same rozwiązania techniczne i organizacyjne, które zostały opracowane dla standardowych sytuacji, nie mogą być stosowane do ochrony ASOIB. Nie da się bezmyślnie kopiować cudzych systemów – zostały one stworzone z myślą o innych warunkach.

Od początku istnienia banki niezmiennie wzbudzają zainteresowanie podziemi. A zainteresowanie to wiązało się nie tylko z przechowywaniem środków w instytucjach kredytowych, ale także z tym, że ważne i często tajne informacje dotyczące finansów i działalność gospodarcza wiele osób, firm, organizacji, a nawet całych państw. Tajemnica bankowa jest obecnie chroniona prawem wraz z tajemnicą państwową.

W związku z powszechną informatyzacją i informatyzacją bankowości, znaczenie bezpieczeństwa informacji banków wzrosło wielokrotnie. Już 30 lat temu celem ataków informacyjnych były dane o klientach banku lub o działalności samego banku. Takie ataki zdarzały się rzadko, krąg ich klientów był bardzo wąski, a szkody mogły być znaczne tylko w szczególnych przypadkach. Obecnie w wyniku wszechobecnego rozpowszechnienia płatności elektronicznych, kart plastikowych, sieci komputerowych, obiekt ataków informacyjnych stał się bezpośrednio gotówka zarówno banki, jak i ich klienci. Każdy może podjąć próbę kradzieży - wystarczy komputer podłączony do Internetu. Co więcej, nie wymaga to fizycznego wchodzenia do banku, można „pracować” i tysiące kilometrów od niego.

Usługi świadczone dziś przez banki w dużej mierze opierają się na wykorzystaniu elektronicznych środków interakcji między bankami, bankami oraz ich klientami i partnerami handlowymi. Obecnie dostęp do usług bankowych stał się możliwy z różnych zdalnych lokalizacji, w tym terminali domowych i komputerów biurowych. Fakt ten zmusza nas do odejścia od koncepcji „zamkniętych drzwi”, która była charakterystyczna dla banków w latach 60., kiedy komputery były używane w większości przypadków w trybie wsadowym jako narzędzie pomocnicze i nie miały połączenia ze światem zewnętrznym.

Systemy komputerowe, bez których nikt nie może się obejść nowoczesny bank Jest źródłem zupełnie nowych, nieznanych wcześniej zagrożeń. Większość z nich wynika z zastosowania w Bankowość nowych technologii informatycznych i są typowe nie tylko dla banków.

Poziom wyposażenia automatyzacyjnego odgrywa ważną rolę w działalności banku, a tym samym bezpośrednio wpływa na jego pozycję i dochody. Wzmocnienie konkurencji pomiędzy bankami prowadzi do konieczności skrócenia czasu dokonywania rozliczeń, zwiększenia zasięgu i poprawy jakości świadczonych usług.

Im mniej czasu zajmie rozliczenia między bankiem a klientami, tym wyższe obroty banku, a co za tym idzie zysk. Dodatkowo bank będzie mógł szybciej reagować na zmiany sytuacji finansowej. Różnorodność usług bankowych (przede wszystkim dotyczy to możliwości dokonywania płatności bezgotówkowych pomiędzy bankiem a jego klientami za pomocą kart plastikowych) może znacząco zwiększyć liczbę jego klientów, a w efekcie zwiększyć zyski. Jednocześnie ABS banku staje się jednym z najbardziej wrażliwych punktów w całej organizacji, przyciągając intruzów zarówno z zewnątrz, jak i spośród pracowników banku. Aby chronić siebie i swoich klientów, większość banków podejmuje niezbędne środki ochrony, wśród których ochrona ABS jest jedną z najważniejszych. Ochrona ABS banku jest przedsięwzięciem kosztownym i skomplikowanym, wymaga nie tylko znaczących jednorazowych inwestycji, ale także zapewnia koszty utrzymania systemu ochrony na odpowiednim poziomie. Obecnie banki wydają średnio ponad 20 milionów dolarów rocznie na utrzymanie odpowiedniego poziomu ochrony.

Strategia bezpieczeństwa informacji banków bardzo różni się od podobnych strategii innych firm i organizacji. Wynika to przede wszystkim ze specyfiki zagrożeń, a także z publicznej działalności banków, które zmuszone są do ułatwienia dostępu do rachunków dla wygody klientów.

Zwykła firma buduje swoje bezpieczeństwo informacji w oparciu jedynie o wąski zakres potencjalnych zagrożeń – głównie ochronę informacji przed konkurencją (w realiach rosyjskich głównym zadaniem jest ochrona informacji przed organami podatkowymi i środowiskiem przestępczym w celu zmniejszenia prawdopodobieństwa niekontrolowanego wzrost płacenia podatków i ściągania haraczy). Takie informacje są interesujące tylko dla wąskiego kręgu zainteresowanych osób i organizacji i rzadko są płynne, to znaczy mogą być przeliczone na formę pieniężną.

7.2. Wymogi bezpieczeństwa informacji bankowych

Bezpieczeństwo informacji bankowych powinno uwzględniać następujące specyficzne czynniki:

  1. Informacje przechowywane i przetwarzane w systemach bankowych to prawdziwe pieniądze. Na podstawie informacji z komputera można dokonywać płatności, otwierać pożyczki, przekazywać znaczne kwoty. Jest całkiem zrozumiałe, że nielegalna manipulacja takimi informacjami może prowadzić do poważnych strat. Cecha ta dramatycznie poszerza krąg przestępców, którzy wkraczają do banków (w przeciwieństwie np. do firm przemysłowych, których wewnętrzne informacje nikogo nie interesują).
  2. Informacje w systemach bankowych wpływają na interesy dużej liczby osób i organizacji – klientów banku. Jest ogólnie poufny, a bank jest odpowiedzialny za zachowanie wymaganego stopnia tajemnicy wobec swoich klientów. Oczywiście klienci mają prawo oczekiwać, że bank zadba o ich interesy, w przeciwnym razie ryzykuje swoją reputację ze wszystkimi wynikającymi z tego konsekwencjami.
  3. Konkurencyjność banku zależy od wygody współpracy klienta z bankiem, a także od zakresu świadczonych usług, w tym usług związanych ze zdalnym dostępem. Dlatego klient powinien być w stanie szybko i bez żmudnych procedur zarządzać swoimi pieniędzmi. Ale ta łatwość dostępu do pieniędzy zwiększa prawdopodobieństwo przestępcy infiltracji systemów bankowych.
  4. Bezpieczeństwo informacji banku (w przeciwieństwie do większości firm) musi zapewniać wysoką niezawodność systemów komputerowych nawet w sytuacjach awaryjnych, ponieważ bank odpowiada nie tylko za środki własne, ale również za pieniądze klientów.
  5. Bank przechowuje ważne informacje o swoich klientach, co poszerza krąg potencjalnych intruzów zainteresowanych kradzieżą lub uszkodzeniem takich informacji.

Przestępstwa bankowe mają również swoje własne cechy:

  • Wiele przestępstw popełnianych w sektorze finansowym pozostaje nieznanych opinii publicznej ze względu na to, że liderzy banków nie chcą przeszkadzać swoim akcjonariuszom, boją się narażać swoją organizację na nowe ataki, boją się zepsuć swoją reputację jako rzetelnego magazynu środków, aw rezultacie stracić klientów.
  • Zazwyczaj osoby atakujące korzystają z własnych kont, na które przelewane są skradzione kwoty. Większość przestępców nie wie, jak prać skradzione pieniądze. Wiedza, jak popełnić przestępstwo i wiedza, jak zdobyć pieniądze, to nie to samo.
  • Większość przestępstw komputerowych to drobne przestępstwa. Obrażenia od nich wahają się od 10 000 do 50 000 USD.
  • Udane przestępstwa komputerowe wymagają zwykle dużej liczby transakcji bankowych (do kilkuset). Jednak duże kwoty można przelać w zaledwie kilku transakcjach.
  • Większość atakujących to pracownicy banku niskiego szczebla, urzędnicy. Chociaż najwyżsi pracownicy banku również mogą popełniać przestępstwa i wyrządzać bankowi znacznie większe szkody, takie przypadki zdarzają się rzadko.
  • Przestępstwa komputerowe nie zawsze są zaawansowane technologicznie. Wystarczy sfałszować dane, zmienić parametry środowiska ABS itp., a czynności te są dostępne dla obsługi.
  • Wielu cyberprzestępców tłumaczy swoje działania tym, że po prostu pożyczają w banku z późniejszym zwrotem. Jednak z reguły nie ma „powrotu”.

Specyfika ochrony systemów automatycznego przetwarzania informacji banków (ABS) wynika ze specyfiki zadań, które rozwiązują:

  • ABS przetwarza duży strumień stale napływających żądań w czasie rzeczywistym, z których każde nie wymaga wielu zasobów do przetworzenia, ale wszystkie razem mogą być przetwarzane tylko przez system o wysokiej wydajności.
  • ABS przechowuje i przetwarza informacje poufne, które nie są przeznaczone dla ogółu społeczeństwa. Jego fałszerstwo lub wyciek może prowadzić do poważnych (dla banku lub jego klientów) konsekwencji. Dlatego ABSy są skazane na to, że pozostaną względnie zamknięte, działają pod kontrolą konkretnego oprogramowania i przywiązują dużą wagę do zapewnienia ich bezpieczeństwa.
  • Kolejną cechą ABS są zwiększone wymagania dotyczące niezawodności sprzętu i oprogramowania. Dlatego większość nowoczesnych systemów ABS budowana jest w oparciu o odporną na uszkodzenia architekturę sieci komputerowych, która umożliwia ciągłe przetwarzanie informacji nawet w warunkach różnych awarii i awarii.

ABS rozwiązuje dwa rodzaje zadań:

  1. Analityczny. Ten typ obejmuje planowanie zadań, analizę kont itp. Nie działają, a ich rozwiązanie może zająć dużo czasu, a ich wyniki mogą wpływać na politykę banku w stosunku do konkretnego klienta lub projektu. Dlatego podsystem, za pomocą którego rozwiązywane są zadania analityczne, musi być niezawodnie odizolowany od głównego systemu przetwarzania informacji, a ponadto ze względu na możliwą wartość wyników ich ochrona musi być stała.
  2. Operacyjny. Ten typ obejmuje zadania, które rozwiązuje się w codziennych czynnościach, przede wszystkim dokonywanie płatności i regulowanie rachunków. To oni decydują o wielkości i pojemności głównego systemu banku; ich rozwiązanie wymaga zwykle znacznie więcej zasobów niż zadania analityczne. Jednocześnie wartość informacji przetwarzanych w rozwiązywaniu takich problemów jest tymczasowa. Stopniowo wartość informacji, np. o wykonaniu płatności, staje się nieistotna. Oczywiście zależy to od wielu czynników, takich jak: kwota i termin płatności, numer rachunku, dodatkowe cechy itp. Dlatego zwykle wystarczy zapewnić ochronę płatności w momencie jej realizacji. Jednocześnie ochrona samego procesu przetwarzania i efektów końcowych musi być stała.

7.3. Metody ochrony informacji w systemach zautomatyzowanego przetwarzania danych

Ochrona informacji w systemach informatycznych (IS) oznacza regularne korzystanie z narzędzi i metod w nich zawartych, podejmowanie środków i wdrażanie środków w celu systematycznego zapewnienia wymaganej wiarygodności przechowywanych i przetwarzanych informacji. Wiarygodność informacji- integralny wskaźnik charakteryzujący jakość informacji pod względem integralności fizycznej (brak zniekształcenia lub zniszczenia elementów informacji), zaufania do informacji (zaufanie w przypadku braku podmiany) oraz bezpieczeństwa - brak nieuprawnionego jej otrzymania i kopiowania.

Zintegrowane komponenty bezpieczeństwa informacji:

  • organizacyjne środki bezpieczeństwa;
  • środki bezpieczeństwa fizycznego: ochrona i ochrona budynków, lokali, komputerów, przewożonych dokumentów itp.
  • zabezpieczenia sprzętowe: bezpieczeństwo niezawodna praca komputery i sprzęt sieciowy;
  • zapewnienie bezpieczeństwa kanałów komunikacyjnych: ochrona kanałów komunikacyjnych przed wpływami zewnętrznymi;
  • bezpieczeństwo oprogramowania: ochrona przed wirusami, hakerami, złośliwym oprogramowaniem, które kradnie poufne informacje.

Wiadomo, że 80% przestępstw związanych z kradzieżą, zniszczeniem lub zniekształceniem informacji popełnianych jest przy udziale pracowników firmy. Dlatego najważniejszym zadaniem kierownictwa, działu personalnego i służby bezpieczeństwa jest staranny dobór pracowników, podział uprawnień i budowa systemu dostępu do elementów informacji oraz kontrola dyscypliny i zachowania pracowników oraz stworzenie dobrego klimatu moralnego w zespole.

Środki organizacyjne ochrona informacji – są to szczególne środki organizacyjne, techniczne i organizacyjno-prawne realizowane w procesie tworzenia i eksploatacji systemu, mające na celu zapewnienie ochrony informacji.

Ustawodawczyśrodki ochrony informacji definiuje się jako akty prawne regulujące wykorzystanie i przetwarzanie informacji, ograniczenia dostępu oraz określające odpowiedzialność i sankcje za naruszenie tych zasad.

Środki techniczne Są podzielone na fizyczny(zamki, kraty, systemy alarmowe itp.) oraz sprzęt komputerowy(zamki, zamki, alarmy i inne urządzenia używane bezpośrednio na komputerach i urządzeniach do transmisji danych). Oprogramowanie ochrona informacji jest specjalne środki ochrona informacji, wbudowana w oprogramowanie systemowe i działająca niezależnie lub w połączeniu z innymi środkami ochrony informacji w systemie.

Oprogramowanie bezpieczeństwo informacji oznacza:

  1. Oprogramowanie identyfikacja użytkownika i określenie ich uprawnień.
  2. Oprogramowanie identyfikacja terminala.
  3. Oprogramowanie ochrona plików.
  4. Oprogramowanie ochrona systemu operacyjnego, komputerów i programy użytkownika.
  5. Programy pomocnicze do różnych celów.

Narzędzia kryptograficzne ochrona informacji - metody specjalnego kodowania, szyfrowania lub innej transformacji informacji, w wyniku której treść staje się niedostępna bez przedstawienia jakiejś specjalnej informacji i odwrotnej transformacji. Wykorzystanie metod kryptograficznych stało się szczególnie istotne obecnie w związku z przesyłaniem dużych ilości informacji o charakterze państwowym, wojskowym, handlowym i prywatnym przez otwarty Internet. Ze względu na wysokie koszty szkód spowodowanych utratą, ujawnieniem i zniekształceniem informacji przechowywanych w bazach danych i przesyłanych w sieciach lokalnych, w nowoczesnych IS zaleca się przechowywanie i przesyłanie informacji w postaci zaszyfrowanej.

System kryptograficzny- rodzina algorytmów do konwersji zwykłego tekstu na tekst zaszyfrowany.

Alfabet- skończony zestaw znaków używanych do kodowania informacji. Przykłady alfabetów używanych we współczesnych systemach informatycznych obejmują:

  • alfabet Z33 - 32 litery alfabetu rosyjskiego i spacja;
  • Alfabet Z256 - znaki zawarte w standardowych kodach ASCII;
  • alfabet binarny - Z2 = (0,1).

Szyfrowanie polega na przekształceniu oryginalnego tekstu T za pomocą klucza K na tekst zaszyfrowany t. Klucz- wymienny element szyfru, który służy do szyfrowania określonej wiadomości. Podczas szyfrowania używa się pojęcia „szyfr gamma” - jest to pseudolosowa sekwencja liczbowa generowana zgodnie z danym algorytmem do szyfrowania otwartych danych i deszyfrowania programów szyfrujących.

Ze względu na charakter użycia klucza znane kryptosystemy można podzielić na dwa typy: symetryczny(jednokluczowy, z tajnym kluczem) i asymetryczny(z kluczem publicznym).

W pierwszym przypadku ten sam klucz jest używany w koderze nadawcy i dekoderze odbiorcy. Szyfr tworzy szyfr, który jest funkcją tekstu jawnego, konkretny typ funkcji szyfrowania jest określony przez tajny klucz. Dekoder odbiorcy wiadomości wykonuje odwrotną transformację w ten sam sposób. Tajny klucz jest utrzymywany w tajemnicy i przesyłany przez nadawcę wiadomości do odbiorcy przez bezpieczny kanał, co wyklucza przechwycenie klucza przez wrogiego kryptoanalityka.

Szyfrowanie odbywa się za pomocą metod zastępowania i permutacji. Najprostsze, ale nieczytelne szyfrowanie - z zastąpieniem znaków tekstowych losowymi znakami lub liczbami. W takim przypadku długość klucza musi pokrywać się z długością tekstu, co jest niewygodne w przypadku dużej ilości informacji. Klucz jest używany raz, a następnie jest niszczony, dlatego metoda ta nazywana jest „szyfrowaniem odrywania podkładki”.

W rzeczywistości szyfrowanie odbywa się w kodzie binarnym za pomocą krótkich kluczy - w międzynarodowym standardzie DES (Data Encryption Standard), który działa z blokami danych o wielkości 64 bajtów (1998), w GOST 28147 - 89 - 256 bajtów, co zapewnia znacznie większą siła kryptograficzna ... Na podstawie krótkiego klucza komputer generuje klucz o długiej gamie, korzystając z jednego z kilku algorytmów opisanych w standardach szyfrowania DES lub GOST. Algorytmy tworzenia gamma - gamma - opierają się na serii podstawień i przesunięć, prawdopodobnie z wykorzystaniem zaszyfrowanego tekstu. Algorytmy szyfrowania nie są tajne, tylko klucze są tajne. Aby dystrybuować klucze w sieciach powszechne zastosowanie Wykorzystywana jest następująca technologia: klucze pierwszej rangi są przesyłane za pośrednictwem kurierów, na ich podstawie klucze drugiej rangi służą do szyfrowania dokumentów i są transmitowane przez sieci.

Bardzo nowoczesne systemy szyfry wykorzystują algorytmy asymetryczne z kluczami publicznymi i prywatnymi, gdzie nie ma problemu z bezpiecznym transportem klucza. Systemy te obejmują algorytm rsa, nazwany na cześć twórców (rivest-shamir-adleman - twórcy tego systemu Ronald Rivest, Adi Shamir i Leonard Adleman, 1977), oparty na faktoryzacji dużych liczb.

V asymetryczne kryptosystemy(systemy kryptograficzne klucza publicznego) algorytmy szyfrowania i deszyfrowania wykorzystują różne klucze, z których każdy nie może być uzyskany od siebie przy akceptowalnym nakładzie czasu i innych zasobów. Jeden klucz — publiczny — służy do szyfrowania informacji, drugi — tajny — do odszyfrowywania, czyli wiadomość może odczytać tylko osoba, do której jest przeznaczona, na przykład szef firmy, który odbiera wiadomości od swojego wielu agentów.

Systemy podpisu elektronicznego są oparte na szyfrowaniu asymetrycznym, ale klucz tajny jest przechowywany przez nadawcę wiadomości, a klucz publiczny, utworzony na podstawie tajnego przez transformację matematyczną, jest w posiadaniu wielu. Klucz publiczny można wysłać wraz z wiadomością. Ale w tym przypadku to nie sama wiadomość jest szyfrowana, ale jej funkcja mieszająca, uzyskana z wiadomości poprzez przekształcenie jej zgodnie z określonym algorytmem i zajmująca tylko kilka bajtów. Zmiana przynajmniej jednego bitu w tekście wiadomości prowadzi do znaczącej zmiany funkcji skrótu. Odbiorca wiadomości może odszyfrować zaszyfrowaną funkcję skrótu wysłaną wraz z wiadomością, utworzyć funkcję skrótu otrzymanej wiadomości przy użyciu znanego algorytmu oraz porównać odszyfrowane i zrekonstruowane funkcje skrótu. Ich zbieżność gwarantuje integralność otrzymanego dokumentu, tj. brak w nim zniekształceń. Odbiorca nie może wprowadzać zmian w otrzymanym dokumencie, ponieważ nie może zaszyfrować nowej funkcji skrótu. Podpis elektroniczny ma zatem taki sam skutek prawny jak zwykły podpis i pieczęć na papierze. Klucze tajne i publiczne, programy i sprzęt do systemów podpisu elektronicznego są dostarczane przez firmy licencjonowane przez FSB, które w razie potrzeby mogą składać kopie kluczy do sądu.

Istnieją dwa główne sposoby ochrony siebie: oprogramowanie i sprzęt. Programowa metoda ochrony danych jest dobra pod tym względem, że przy stosunkowo niskim koszcie środków można uzyskać program zapewniający wymaganą niezawodność przechowywania informacji. Oprogramowanie ma jednak kilka istotnych wad, o których należy pamiętać wybierając tę ​​ścieżkę:

  • zwykle wolniej niż sprzęt;
  • można otworzyć dowolny program, to tylko kwestia czasu i kwalifikacji specjalisty;
  • kradzież nośnika informacji powoduje również kradzież programu.

Sprzęt ma również szereg wad: jest droższy w rozwoju, dodawane są koszty produkcji i konserwacji, system sprzętowy jest bardziej złożony i oprócz sprzętu wymaga również oprogramowania.

Ale korzyści z używania sprzętu są oczywiste:

  • szybka praca bez angażowania zasobów systemowych;
  • wejdź do programu sprzęt komputerowy jest to niemożliwe bez jego kradzieży;
  • bez sprzętu niemożliwe jest odszyfrowanie chronionych danych.

7.4. Akty ustawodawcze z zakresu ochrony informacji

W Rosji podejmowane są działania mające na celu zwalczanie broni informacyjnej i przestępczości komputerowej. W Dumie Państwowej Federacji Rosyjskiej istnieje grupa zastępcza „Rosja Elektroniczna”, odbywają się okrągłe stoły dotyczące bezpieczeństwa informacji w celu opracowania odpowiednich ustaw. Przyjęto ustawę Federacji Rosyjskiej „O bezpieczeństwie”, ustawę „O podpisie elektronicznym” oraz „O informacji, informatyzacji i ochronie informacji”, które stanowią, że informacje podlegają ochronie w taki sam sposób, jak własność materialna właściciel. Dawniej FAPSI zapewniał bezpieczny transfer informacji rządowych, obecnie jest to FSB i FSO, a ochronę przekazu informacji handlowych zapewniają firmy licencjonowane przez FSB. Wytyczne Państwowej Komisji Technicznej Federacji Rosyjskiej „Systemy zautomatyzowane. Ochrona przed nieuprawnionym dostępem do informacji. Klasyfikacja zautomatyzowanych systemów i wymagań w zakresie ochrony informacji” oraz odpowiadające im standardy państwowe:

GOST 28147-89. Systemy przetwarzania informacji. Ochrona kryptograficzna. Algorytm transformacji kryptograficznej;

GOST R 34.10-94. Technologia informacyjna. Ochrona informacji kryptograficznych. Procedury opracowania i weryfikacji elektronicznej podpis cyfrowy oparty na asymetrycznym algorytmie kryptograficznym;

GOST R 34.11-94. Technologia informacyjna. Ochrona informacji kryptograficznych. Funkcja skrótu;

GOST R 50739-95. Wyposażenie komputerowe. Ochrona przed nieuprawnionym dostępem do informacji. Ogólne wymagania techniczne.

Od 2004 roku obowiązuje nowa narodowa norma bezpieczeństwa GOST / ISO IEC 15408 - 2002. Ogólne kryteria oceny bezpieczeństwa technologii informatycznych.

Za rok narodzin normy można uznać 1990 rok – wtedy rozpoczęto prace nad stworzeniem normy w zakresie oceny bezpieczeństwa technologii informatycznych (IT) pod auspicjami Międzynarodowej Organizacji Normalizacyjnej (ISO). Dokument ten został przetłumaczony i wykorzystany jako podstawa do opracowania GOST / ISO IEC 15408 - 2002. Nazwa normy rozwinęła się historycznie. Prace nad nim prowadzone były przy pomocy organizacje rządowe w sprawie standaryzacji USA, Kanady, Wielkiej Brytanii, Francji, Niemiec i Holandii oraz realizował następujące cele koncepcyjne:

  • ujednolicenie różnych standardów krajowych w zakresie oceny bezpieczeństwa teleinformatycznego;
  • zwiększenie poziomu zaufania do oceny bezpieczeństwa IT;
  • obniżenie kosztów oceny bezpieczeństwa IT w oparciu o wzajemne uznawanie certyfikatów.

Rosyjski standard to dokładne tłumaczenie Międzynarodowy standard... Został przyjęty dekretem Gosstandart Rosji z dnia 04.04.2002 nr 133-st z datą wejścia w życie 1 stycznia 2004 r. Pojawienie się tego GOST odzwierciedla nie tylko proces poprawy rosyjskich standardów z wykorzystaniem międzynarodowych doświadczeń , ale także część rządowego programu przystąpienia Rosji do WTO (jak wiadomo, przystępując do tej organizacji w kraju kandydującym, cła, podatki, normy produkcyjne, normy jakościowe i niektóre normy w zakresie bezpieczeństwa informacji muszą być ujednolicone) .

Nowy standard wprowadza pojęcia „zagrożenia” i „profilu”.

Profil bezpieczeństwa to „niezależny od wdrożenia zestaw wymagań bezpieczeństwa dla określonej kategorii produktów lub systemów IT, które spełniają określone potrzeby klientów”.

Wszystkie mechanizmy bezpieczeństwa opisane w profilu nazywane są funkcjami bezpieczeństwa obiektów (TSF). Profil ochrony obejmuje tylko te funkcje zabezpieczeń, które mają na celu ochronę przed zagrożeniami i są zgodne z polityką bezpieczeństwa.

Założenia bezpieczeństwa to opis konkretnych warunków, w których system będzie eksploatowany. Polityka bezpieczeństwa to „jedna lub więcej zasad bezpieczeństwa, procedur, praktyk lub wytycznych, które kierują organizacją w jej działaniach”. W ogólnym przypadku takim zestawem reguł jest pewna funkcjonalność oprogramowania, która jest niezbędna do jego wykorzystania w określonej organizacji.

Jednym z najbardziej zrównoważonych i wykonalnych dokumentów jest wewnątrzbranżowy standard Banku Rosji dotyczący bezpieczeństwa informacji. Jego ostatnie poprawki(2006) wskazuje na wyraźną intencję Banku Centralnego zmiany rekomendacyjnego charakteru dokumentu na obowiązkowy.

7.5. Standard bezpieczeństwa informacji w zakresie kart bankowych

Payment Card Industry Data Security Standard (PCI DSS) to standard ochrony danych w branży kart płatniczych opracowany przez międzynarodowe systemy płatnicze Visa i MasterCard.

Decyzję o stworzeniu tego ujednoliconego standardu podjęły międzynarodowe systemy płatnicze w związku ze wzrostem liczby firm zgłaszających utratę lub kradzież poufnych informacji o rachunkach swoich klientów.

Cele normy:

  • zwiększenie bezpieczeństwa elektronicznych systemów handlu i płatności;
  • zapewnienie bezpiecznego środowiska do przechowywania danych posiadaczy kart;
  • zmniejszenie niespójności w wymaganiach bezpieczeństwa w branży kart płatniczych;
  • modernizacja i racjonalizacja procesów biznesowych oraz redukcja kosztów.

Wymagania PCI DSS dotyczą wszystkich firm współpracujących z międzynarodowymi systemami płatniczymi Visa i MasterCard. W zależności od liczby przetwarzanych transakcji, każdej firmie przypisywany jest określony poziom z odpowiednim zestawem wymagań, które musi spełnić. Standard przewiduje roczne audyty firm, a także kwartalne skany sieci.

Standard bezpieczeństwa danych PCI został wprowadzony przez międzynarodowy system płatniczy VISA na terytorium regionu CEMEA od września 2006 r. jako obowiązkowy, w związku z tym jego skutek dotyczy również Rosji. Dlatego dostawcy usług (centra przetwarzania, bramki płatnicze, dostawcy Internetu) współpracujący bezpośrednio z VisaNet muszą przejść procedurę audytu pod kątem zgodności z wymogami Standardu. W przeciwnym razie VISA nałoży na firmy określone kary.

Pytania autotestu

  1. Jaka jest główna różnica między ochroną bankowych systemów komputerowych a ochroną przemysłowych systemów komputerowych?
  2. Jakie działania można zaliczyć do organizacyjnych środków ochrony?
  3. Jaka jest zasada „zamkniętych drzwi” w bankach i dlaczego nie można jej obecnie skutecznie stosować?
  4. Jakie środki ochrony można zaliczyć do środków fizycznych?
  5. Które systemy, analityczne czy operacyjne, wymagają bardziej zaawansowanej ochrony i dlaczego?
  6. Jakie są metody kryptograficzne przekształcania tekstu?
  7. Czym jest klucz?
  8. Podaj definicję „gier”. Dlaczego jest to wymagane?
  9. Co to jest kodowanie odrywanej podkładki i dlaczego nie jest obecnie używane?
  10. Jaka jest długość klucza podczas szyfrowania przy użyciu DES?
  11. Czy długość klucza różni się o? rosyjskie standardy z międzynarodowego? Jak to jest?
    12. Tytuł warsztatu adnotacja

    Prezentacje

    Tytuł prezentacji adnotacja
Popularny
Kategorie

2021
mamipizza.ru - Banki. Depozyty i depozyty. Przelewy pieniężne. Pożyczki i podatki. Pieniądze i państwo