Articolul este dedicat furnizării securității informațiilor în instituțiile bancare pe baza cerințelor de reglementare interne a standardelor sectoriale ale Băncii Rusiei STR BR IBBS-1.0-2014. Unele aspecte ale protecției în sistemele bancare automate (ABS) sunt luate în considerare, protecția datelor cu caracter personal în sectorul bancar, auditul intern și autoevaluarea pentru respectarea cerințelor IB, precum și unele caracteristici și locuri de probleme referitoare la specificul informațiilor Securitate în bănci.

Introducere

Nu este un secret faptul că băncile sunt piatra de temelie a sistemului de credit și financiar al țării și al celui mai important Institut Financiar al Societății Modern. În acest sens, acestea sunt impuse unor cerințe speciale pentru securitatea informațiilor. Până la apariția standardelor interne de securitate a informațiilor sectoriale, STR BRBS băncile au gestionat securitatea, pe baza prevederilor interne documente de reglementare. Dar, după adoptarea acestor documente, există multe probleme care necesită decizia lor. Unele întrebări considerate în articol sunt asociate cu soluționarea "blocajelor" sistemului bancar IB și adaptarea politicilor de securitate pentru noi cerințe, luând în considerare deja "bagajele" deja disponibile în domeniul protecției informațiilor.

Formarea standardelor Ib Bank Rusia

În Rusia până la mijlocul anilor 2000, cuvântul "Siguranță"în principal asociate cu controlul "Riscuri bancare" . Controlul situațiilor care ar putea duce la pierderea instituției de credit și la degradarea lichidității sale datorită apariției evenimentelor adverse. Astfel de categorii "Securitatea informațiilor" sau "Protecția informațiilor" Nu a existat în principiu. Numai legea federală "privind activitățile bancare" de la 02.12.1990 N 395-1 FZ la articolul 26, secretul bancar a dat drept limitat și capacitatea de a proteja informațiile confidențiale în sectorul bancar. Mai mult de un deceniu, rubrica internă a emis legea federală "în secret comercial" la 29 iulie 2004 n 98-фз, care, în cele din urmă, să declare pe deplin o nouă formă de activitate și o categorie separată de chestiuni precum "securitatea informațiilor bănci ".

În aceiași ani, tendințele au apărut în comunitatea bancară internă pentru a adopta standarde bancare internaționale, în special Standardul Basel II. În interpretarea sa, acest standard a examinat securitatea informațiilor ca un risc operațional și, în general, a cerut măsuri de audit și de control al sferei de informare, care a fost o inovație absolută pentru băncile rusești la acea vreme. Cu toate acestea, acest lucru nu a fost suficient - dezvoltarea tehnologiilor informaționale moderne și dorința constantă a propunerii de noi produse bancare pe piață a avut nevoie de mai multă atenție acestor probleme.

Următoarea evoluție evolutivă a dezvoltării a fost anul 2004, cu eliberarea primei ediții a pachetului de standarde sectoriale interne pentru securitatea informațiilor STR SuMBS. Standardul de securitate IT a fost considerat cel mai bun standard sectorial la acel moment, deoarece și-a imaginat cea mai bună experiență și practică mondială combină prevederile de bază ale standardelor de gestionare a securității IT (ISO 17799, 13335), reglementează descrierea ciclului de viață al software-ului și Criterii pentru evaluarea securității IT (GOST R ISO / IEC 15408-1-2-3). De asemenea, documentul reflectă tehnologiile pentru evaluarea amenințărilor și a vulnerabilităților, unele dintre prevederile metodologiei britanice de evaluare a riscurilor informaționale Crapm (a se vedea figura 1).

Figura 1. Relația de diferite cerințe și standarde în IT, securitate și management

Printre principalele prevederi ale Standardului Băncii Centrale, a fost posibilă observarea orientării în rezolvarea problemei insiderilor. Pentru aceasta, Banca Rusiei stabilește controlul asupra recursului de informații confidențiale în mediul corporativ. O atenție deosebită este acordată amenințărilor externe: prevederile standardului solicită de la bănci să aibă o protecție antivirus cu baze actualizate periodic, unelte de filtrare a spamului, controlul accesului, reglează procedurile de audit intern, utilizați criptarea pentru a proteja împotriva accesului neautorizat etc.

În ciuda tuturor acestor avantaje evidente, standardul a fost un caracter de recomandare - poziția sa ar putea fi aplicată de băncile interne numai pe o bază voluntară. Cu toate acestea, în conformitate cu rezultatele studiului respondenților prezentați în III a Conferinței Interbancare, a existat o tendință clară către adoptarea acestor documente ca bază obligatorie de bază pentru băncile rusești.

În paralel cu dezvoltarea standardelor bancare la mijlocul anilor 2000, procesul de formare a legislației interne în domeniul securității informațiilor a fost, de asemenea, inclus în Rusia. Momentul cheie Actualizarea legii federale "privind informarea, tehnologiile informatice și protecția informațiilor" din 27 iulie 2006 N 149-FZ, care oferă noi definiții reale ale informațiilor, tehnologiilor și proceselor informaționale, separat titlul "Protecția informațiilor" este alocată. Urmărindu-l categorie separată În practica protecției informațiilor, am marcat calea de ieșire din lege "pe datele personale" din 27 iulie 2006 N 152-FZ.

Având în vedere toate aceste inovații și schimbarea realităților societății, au fost publicate noile ediții ale STR B BRBBS. Astfel, în cea de-a treia ediție a standardului din 2008, pachetul de documente a fost redus semnificativ, s-au spus noi termeni și noțiuni, unele cerințe de securitate au fost rafinate și detaliate; Cerințe actualizate pentru sistemul de management al securității informațiilor. De asemenea, standardul a dobândit propriul model de amenințări și violatori de securitate a informațiilor despre organizațiile BS ale RF. Au fost introduse noi blocuri în conformitate cu cerințele IB în sistemele bancare automate, procesul de plată bancară și procesele tehnologice de informare a fost reglementată, separat sa spus despre utilizarea fondurilor de protecție a informațiilor criptografice.

În contextul ultimelor evenimente mondiale din 2014 și a sancțiunilor economice impuse de țările occidentale în legătură cu Rusia, a existat o tendință clară către dezvoltarea și tranziția la sistemul național de carduri de plată. Aceasta, în consecință, face cerințe suplimentare pentru fiabilitatea și siguranța unor astfel de sisteme, ceea ce implică și sporește importanța standardelor interne IB.

Rezultatul tuturor acestor evenimente a fost următorul reeșit al standardului. Și în iunie 2014, a intrat în vigoare o cincime actualizată, iar în timp ce ultima până în prezent, editorialul STR B B B B BBBS - 2014. Noua ediție a corectat defectele problemelor anterioare și, ceea ce este foarte important, cerințele și recomandările din Lead Lead în conformitate cu cele descrise 382-p. Deci, de exemplu, o listă de înregistrare a operațiunilor în DBO a fost clarificată, lista de informații protejate a fost extinsă, bazată pe P-382, un tabel de conformitate cu indicatorii de evaluare privată de la o sută de indicatori de la curent versiune de 382-p.

O realizare nu mai puțin semnificativă a fost baza actualizată a cerințelor de reglementare, ținând seama de cele mai recente modificări ale legislației în domeniul protecției datelor cu caracter personal, și anume referințe adăugate la Decretul nr. 1119 al Guvernului și Ordinul FSTEC al Rusiei nr. 21.

Toate acestea au format o platformă metodologică și de reglementare unificată pentru a asigura o securitate completă a informațiilor, luând în considerare specificul bancar. Pachetul de documente STR BR IBBS băncile rusești După construirea în ele un sistem de securitate din punct de vedere sectorial, dar, în același timp, a absorbit cea mai bună practică și experiență globală a colegilor străini pentru a asigura securitatea informațiilor.

Securitatea informațiilor în bănci, luând în considerare STR BR IBBS-2014

În prezent, pachetul de documente al Băncii Rusiei din Rusia este alcătuit din următoarele părți:

1. STR BR IBBS-1.2-2014. "Metode de evaluare a conformității securității informațiilor ale organizațiilor din sistemul bancar al Federației Ruse cu cerințele STR BBBS-1.0-2014 (4 ediția)";

În plus, Banca Rusiei a elaborat și a introdus următoarele recomandări în domeniul standardizării IB:

1. RS BR IBBS-2.0-2007. "Recomandări metodice pentru documentația privind securitatea informațiilor în conformitate cu cerințele STR sutien ibbs-1.0";
2. RS BR IBBS-2.1-2007. "Orientările pentru autoevaluarea conformității securității informațiilor ale organizațiilor sistemului bancar al Federației Ruse cu cerințele STR BR IBBS-1. 0 ";
3. RS BR IBBS-2.2-2009. "Metode de evaluare a riscului de securitate informațională";
4. RS BR IBBS-2.5-2014. "Managementul incidentelor de securitate a informațiilor"

Primele trei documente sunt obligatorii pentru toate băncile care au adoptat standardul specificat ca politică de bază. Document "General" sunt baza pentru formarea tuturor activităților de protecție a informațiilor. Întreaga structură este ruptă în blocuri separate. Acestea descriu în detaliu cerințele de siguranță, li se oferă liste specifice de măsuri de protecție printr-un anumit bloc. (vezi tabelul 1)

Tabelul 1. Cerințe privind securitatea informațiilor

- la atribuirea și distribuirea rolurilor și asigurarea încrederii în personal;

- în sistemele bancare automate (ABS) în etapele ciclului de viață;

- atunci când gestionați accesul la acces și înregistrarea utilizatorilor;

- la mijloacele de protecție antivirus;

- când utilizați resursele de Internet;

- atunci când se utilizează mijloacele de protecție criptografică a informațiilor;

- în procesele tehnologice de plată bancară;

- la manipularea datelor cu caracter personal;

- rubrica hotelului a fost emisă cerințe pentru sistemul de management al securității informațiilor.

Document "Auditul securității informațiilor" Cel mai mic al tuturor, indică necesitatea de a efectua un audit al sistemului IB și oferă, de asemenea, o trimitere la autoevaluarea anuală în conformitate cu cerințele standardului. Datele de autoevaluare finală servesc ca bază pentru formularul de raportare în cazul testelor de către banca centrală și încheierea respectării nivelului de securitate al sistemului de securitate a informațiilor al Băncii prin riscurile și amenințările relevante Ib.

Și ultimul document luat în considerare "Metode de evaluare a respectării cerințelor IB" - Acesta este un set de metode și tabele de evaluare cu câmpurile corespunzătoare pentru umplere. Fiecare eveniment și măsura de protecție oferă o anumită valoare în greutate în evaluarea indicatorului de grup. Conform rezultatelor indicatorilor de grup, se trage o diagramă circulară de respectare a cerinței IBB-urilor STR sutien (a se vedea figura 2). Toate valorile indicatorilor de grup sunt în intervalul de la 0 inainte de 1 În care alte 6 niveluri de respectare a standardului începând cu zero sunt alocate pentru a determina rezultatul. Banca Rusiei a recomandat nivelurile 4 și 5 (a se vedea figura 2). În consecință, cu atât este mai mare valoarea, cu atât mai mult așteptat sistemul protejat. Pe o diagramă circulară, aceste sectoare au indicator de nivel verde, roșu-critic.

Figura 2. Cerințele diagramei circulare ale STR BR IBBS

Ce altceva puteți adăuga - o mulțime de atenție este acordată proceselor de gestionare a securității informațiilor, în special puteți aloca Ciclul Deming.Folosit de managerii de top în managementul calității (Figura 3).

Figura 3. Ciclul deming pentru Soci Br Sf. Ibbs

În noua ediție, Banca Rusiei a actualizat metodologia de evaluare a conformității securității informațiilor. Principalele modificări au afectat abordarea de evaluare:

• toate cerințele sunt acum atribuite uneia dintre cele trei clase ( documentare, performanță, documentație și execuție);
• evaluarea indicatorilor de grup este definită ca medie aritmetică (nu există coeficienți de ponderare a indicatorilor privați);
• este introdus conceptul de coeficienți corectivi care afectează estimările din instrucțiuni și dependent de numărul de cerințe implementate pe deplin ale standardului;
• valoarea indicatorului M9 (cerințele generale pentru prelucrarea datelor cu caracter personal) este calculată de schema generală (și nu ca minimum a valorilor indicatorilor privați care intră în versiunea anterioară a standardului).

Este demn de remarcat faptul că a devenit mult mai mult să acorde atenție documentației procedurilor de securitate în documentele de reglementare interne ale băncilor. Astfel, chiar dacă procedura nu este efectiv executată, dar este furnizată și documentată, crește rezultatul auditului intern.

În comparație cu ultima editare, numărul de indicatori privați a crescut, precum și valorile greutății estimărilor s-au schimbat (a se vedea figura 4).

Figura 4. Modificări ale ediției anterioare și actuale a STR BR IBBS (conform managementului infocontal, www. Km-ltd.com, 2014)

Ar trebui să se spună despre un plus mai important în ceea ce privește mecanismele de protecție ABS încorporate - Banca Rusiei a emis recomandările de "asigurarea securității informațiilor în etapele ciclului de viață al sistemelor bancare automate" (RS BR IBBS-2.6-2014 ). " Esența lor constă în faptul că băncile acum pot, referindu-se la acest document, cerințele dezvoltatorilor la funcționalitatea software-ului în ceea ce privește mecanismele de protecție. Nu trebuie să uităm că acestea sunt recomandările și nu cerințele, iar Banca Rusiei însuși nu poate impune nimic, dar vă permite să difuzați aceste recomandări în numele comunității bancare, iar aceasta este deja o schimbare pentru mai bine.

Protecția datelor cu caracter personal în bănci

Înainte de eliberarea celei de-a 5-a ediții a STR BR IBBS-2014, protecția datelor cu caracter personal în bănci sa bazat pe două documente: BR IBBS-2.3-2010. "Cerințe privind securitatea datelor personale în sisteme de informare Datele personale ale organizațiilor din sistemul bancar al Federației Ruse "și RS BR IBBS-2.4-2010. "Modelul privat sectorial al amenințărilor la adresa securității datelor cu caracter personal atunci când sunt procesate în sistemele informatice ale datelor cu caracter personal ale organizațiilor din sistemul bancar al Federației Ruse".

În practică, ea a arătat astfel: au luat un model industrial privat de amenințări propuse de banca centrală, conform recomandărilor metodologice, au determinat cerințele pentru protecția fiecărui CDN, pe baza numărului și a numărului de date prelucrate , și mai târziu a construit lista evenimentelor necesare pe ele.

Principala durere de cap de specialiști în prezent a fost că cerințele prezente au funcționat până la următoarea ediție a STR B BR IBBS - 2014, deși în acel moment apărarea PDN a fost deja construită în conformitate cu punctul 1119 și Ordinul FSTEC nr. 21 . Având în vedere faptul că băncile trebuie să respecte pachetul acceptat al STR B BR IBBS, multe dintre ele nu au folosit tehnici relevante și, ca rezultat, nu au îndeplinit noile realități de securitate.

Odată cu eliberarea acestor două documente de reglementare menționate, situația sa schimbat în bine - unele cerințe stricte de acordare a licențelor au fost anulate, procedurile de clasificare a CD-ului, operatorul OPN se adresează mai multor drepturi de a alege măsuri de protecție. Captură de calcul de calcul tabelul de calcul "Nivelul protecției" și procedurile de siguranță aplicate acestora, detaliile care au fost prezentate prin Ordinul FSTEC nr. 21. Aceasta a permis diferențele de nivel în metoda de protecție a PDN-urilor în standardul sectorial banca centrală și legislația generală a Rusiei.

Standardul actualizat are un nou termen "Resurse PDN", pentru care se formează cerințele pentru documentarea procedurilor individuale legate de prelucrarea datelor cu caracter personal (secțiunea 7.10). În mod separat, sunt luate în considerare aspecte legate de distrugerea datelor cu caracter personal: organizațiile au posibilitatea de a distruge PDN-urile nu imediat, ci pe o bază periodică, dar cel puțin o dată la șase luni.

Roskomnadzor a fost explicat separat pentru PDN-urile biometrice, cum ar fi fotografiile angajaților, dacă acestea sunt utilizate pentru a efectua modul de check-in sau sunt expuse pe site-ul web al companiei ca orientări publice disponibile, nu se încadrează în cerințe speciale de protecție.

La băncile care au îndeplinit anterior cerințele pentru protecția PD pe vechea standard, pentru a îndeplini noi cerințe, trebuie să ajustați documentele de reglementare interne, să recalificați și să îl redirecționați și, în conformitate cu nivelul de securitate, Determinați-vă o nouă listă de evenimente de protecție. Aș dori să menționez că acum băncile au mai multă libertate în alegerea fondurilor și a metodelor de protecție, cu toate acestea, aplicarea instrumentelor de securitate a informațiilor este încă asortată.

Securitatea informațiilor a sistemului național de plată

Sistemul național de plată (NPS), având în vedere cele mai recente evenimente, devine o direcție din ce în ce mai prioritară în politica internă a statului. Președintele rus Vladimir Putin a semnat legea privind înființarea unui card național de plată (NSPK) în Rusia și asigurarea activității neîntrerupte a sistemelor internaționale de plată. Operatorul NPC este creat sub forma SA, 100% din activele care aparține Băncii Rusiei. Scopul proiectului este indicat infrastructura și informații privind punerea în aplicare a implementării transferuri de bani În interiorul Rusiei, consolidează teritorial în interiorul centrelor de operare a țării și centrele de compensare a plăților.

De fapt, înainte de eliberarea legii, banii ar putea să apară de la "nicăieri" și să dispară în "nicăieri". Odată cu producția legii, situația se schimbă, NPC face posibilă urmărirea tuturor operațiuni monetare, inclusiv finanțarea tranzacțiilor dubioase și a operațiunilor frauduloase care pot amenința securitatea cetățenilor sau a țării în ansamblu. În plus, plecarea de la guvern, potrivit guvernului, este un alt pas în lupta împotriva mituirii.

Pentru a asigura siguranța NPS, a fost eliberat un întreg bucuros al actelor de sub-bandă, care sunt furnizarea fundamentală privind protecția informațiilor în sistemul de plăți "de la 13.06.2012 nr. 584. Dar Regulamentul privind cerințele de asigurare a protecției informațiilor în implementarea transferului de bani ... "De la 09.06.2012 Nr. 382-P) este responsabil pentru bancă

Odată cu actualizarea P-382, tendințele de protecție sunt acum deplasate pe partea:

• aplicarea ATM-urilor și a terminalelor de plată;
• aplicații ale cardurilor de plată din plastic;
• utilizarea internetului (sisteme bancare la distanță (DB) și sisteme bancare mobile);
• cerințe privind procedura de dezvoltare și distribuire a software-ului specializat destinat utilizării de către Client atunci când transferă fonduri;
• care a fost foarte mulțumit, extinderea cerințelor de conștientizare a clienților cu privire la posibilele riscuri de a primi acces neautorizat la informațiile protejate și la măsurile recomandate pentru a le reduce;
• cerințele pentru necesitatea de a clasifica ATM-uri și terminalele de plată, ale căror rezultate ar trebui luate în considerare la alegerea măsurilor de protecție;
• proceduri de suspendare a plății prin plata efectuată de operator pentru transferul de fonduri în cazul detectării semnelor de acțiuni frauduloase;
• procedurile de protecție din amenințările de securitate moderne sunt furnizate, cum ar fi: Skimming (prin utilizarea fondurilor specializate care împiedică citirea neautorizată a pieselor de plată a cardurilor de plată; protecția serviciilor situate pe Internet de atacurile externe (atacuri DOS); Protecția phishing (din resursele familiale falsificate a Internetului).
• cerințe pentru utilizarea cardurilor de plată echipate cu un microprocesor, din 2015 și interzicerea eliberării cardurilor care nu sunt echipate cu un microprocesor, după 1 ianuarie 2015;
• 29 de noi indicatori de evaluare.

Informații Securitatea sistemelor de plată

O situație similară se aplică utilizând carte de plastic. În comunitatea mondială, standardul de securitate recunoscut este considerat standardul de securitate a datelor de card de plată (PCI DSS), dezvoltat de recomandările PCI SSC. Acesta include branduri de cărți precum Visa, Mastercard, American Express, JCB și descoperire.

Standardul PCI DSS descrie cerințele pentru protecția datelor de pe deținătorii de carduri grupate în douăsprezece secțiuni tematice. Principalul accent pe standardul PCI DSS se face pentru a asigura securitatea infrastructurii de rețea și a protecției datelor stocate privind deținătorii de carduri de plată, ca fiind cei mai vulnerabili din punct de vedere al amenințărilor de confidențialitate. De asemenea, trebuie remarcat faptul că standardul reglementează normele privind dezvoltarea, sprijinul și funcționarea sigură a sistemelor de plată, inclusiv procedurile de monitorizare a acestora. Un rol la fel de important este dezvoltarea și susținerea bazei documentelor de reglementare ale sistemului de gestionare a securității informațiilor.

Sistemele internaționale de plată obligă organizațiile să facă obiectul cerințelor standardului, să facă obiectul unei verificări periodice a respectării acestor cerințe, ceea ce mai devreme sau mai târziu poate afecta NSPK. Cu toate acestea, certificarea băncilor rusești pe standardul străin PCI DSS a mers mai degrabă încet, iar astăzi nu există un omologator intern.

Cu toate acestea, îndeplinirea cerințelor P-382 și a ultimei consiliul editorial al US BR IBBS-2014, este posibil să se pregătească în mare măsură pentru trecerea certificării asupra PCI DSS, deoarece multe dintre dispozițiile sale se intersectează cu cerințele documentului intern : Securitatea anti-virus, criptare, filtrare cu firewall-uri, acces distincții, urmărirea sesiunilor de comunicare, precum și monitorizarea, auditarea și gestionarea sistemului IB (a se vedea figura 5).

Figura 5. Compararea categoriilor de informații protejate prin diferite standarde (conform Centrului de Sistem de Securitate Ural, www.ussc.ru, 2014)

Spre deosebire de toate standardele externe, Rusul 382-P este chemat pentru a stimula dezvoltatorii interni și producătorii de instrumente de protecție a informațiilor (СZI), de exemplu, obligând subiecții NPC să asigure utilizarea accesului neomidicării de la accesul neautorizat , inclusiv cele din modul în care se prescris procedura de evaluare a conformității. În același timp, aplicarea soluțiilor de producție străine este permisă în mod clar.

În plus, Banca Rusiei își consolidează controlul asupra conformității normelor stabilite. În documentul său, indicarea nr. 2831-a datată 09.06.2012 "privind raportarea pentru a asigura protecția informațiilor în sistemele de plată ..." indică în mod explicit în ce formă, iar cu care frecvența subiecții sistemelor de plată ar trebui raportate la Starea de securitate a informațiilor în sistemele de plată.

În ciuda popularității și PCI pe scară largă, există și alte standarde internaționale de securitate ale sistemelor de caz care ar dori, de asemenea, să spună puțin. Unul dintre ele este standardul PCI PA-DSS (plata standardului de securitate a datelor de aplicare). Definirea cererilor de prelucrare a aplicațiilor date privind deținătorii de carduri și procesul de dezvoltare a acestora. Și, al doilea standard al industriei de carduri de plată a cardului de plată (PCI), anterior PCI PED se referă la producătorii care specifică și implementează parametrii tehnici și sistem de control pentru dispozitivele care susțin un set de cod PIN și utilizat pentru efectuarea tranzacțiilor de plată.

Concluzii

STR BR IBBS este o piatră de hotar foarte importantă a căii evolutive de dezvoltare a sistemului intern de securitate a informațiilor. Aceasta este una dintre primele industrii și adaptată pentru realitatea rusă a standardelor. Desigur, acest lucru nu este un panaceu din toate necazurile, există încă multe probleme pe care specialiștii îl luptă, dar aceasta este prima și foarte reușită, care ne aduce la referințele celei mai bune practici străine.

În urma cerințelor standardului, multe bănci se pregătesc la certificarea internațională pentru asigurarea securității sistemelor de plăți PCI DSS. Furnizați protecția datelor cu caracter personal în conformitate cu cele mai recente cerințe ale autorităților de reglementare. Țineți anual audit intern Vă permite să verificați în mod obiectiv securitatea băncilor din riscurile și amenințările substanțiale ale IB, iar managerii sunt mai eficienți pentru a planifica construcția și gestionarea unui sistem de protecție cuprinzător.

Deficiențele existente și greșelile evidente, sperăm că vor fi corectate în următoarele ediții, ale cărei eliberare nu este departe. În primăvara anului 2015, așteptăm un P-382 actualizat, iar schimbările din complexul BR EBBS pot urma și urma. Încă mai pot fi mulțumit cu "standardul operațiunilor financiare" din octombrie "și nu uitați că, indiferent cât de bine toate eforturile autorităților superioare sunt bune, siguranța noastră este încă în mâinile noastre!

Volzhsky. universitate de stat Serviciu

Alshanskaya Tatyana Vladimirovna, candidat la științe pedagogice, profesor asociat, Departamentul de Informatică Aplicată în Economie, Universitatea de Stat de Stat Volga

Adnotare:

Acest articol reflectă starea actuală a metodelor de informații cusute sectorul bancar și perspectivele pentru dezvoltarea sa. Articolul dezvăluie principalele amenințări la adresa securității informațiilor băncilor. Activități de protejare a informațiilor într-o bancă care trebuie efectuate pentru a crea un sistem eficient de protecție.

Acest articol reflectă starea actuală a metodelor de protecție a informării sectorului bancar și a perspectivelor sale de dezvoltare. Articolul acoperă principalele amenințări la adresa securității informațiilor băncilor. Prezintă măsuri de protecție a informațiilor din Bancă, care trebuie efectuate pentru a crea un sistem eficient de protecție.

Cuvinte cheie:

bancă; Securitatea informațiilor; Protecția informațiilor.

siguranța informațiilor; Securitatea informațiilor.

UDC 338.14.

Activitățile băncii sunt direct în funcție de modul în care viteza este schimbul de informații în cadrul acesteia și în ce măsură este sistemul de securitate a informațiilor. Rezultatele infrastructurii bancare nedezvoltate sunt catastrofale: Banca este capabilă să piardă nu numai baze de clienți, ci și încrederea lor. Coliziunea cu această sarcină a condus la formarea celor mai recente concepte pentru protecția informațiilor, care au fost dezvoltate în condițiile instituțiilor de credit. Astfel, studiul sistemelor de protecție a informațiilor din sectorul bancar este o sarcină relevantă.

Potrivit art. 19 din Legea federală "privind informațiile, tehnologia informației și protecția informației" din 27.07.2006 nr. 149-FZ, protecția informațiilor este adoptarea unor măsuri juridice, organizaționale și tehnice care vizează asigurarea informațiilor de la accesul ilegal, distrugerea, modificarea, blocarea , Copierea, furnizarea, distribuirea, precum și alte acțiuni ilegale privind aceste informații, respectarea confidențialității informațiilor de acces limitat, precum și punerea în aplicare a dreptului de acces la informații.

Protecția datelor bancare conține implementarea unui singur set de evenimente - de la auditul protecției informațiilor și până la formarea conceptelor de protecție a diferitelor servicii bancare. Experții acestei sfere sunt gata să se formeze exact ca un modul de securitate independent și un concept concentrat complet de sistem de protecție a datelor.

În procesul de punere în aplicare a funcțiilor de bază ale Serviciului de protecție a informațiilor, apar sarcini, a căror soluție este slab supusă formalizării. În acest caz, este posibil să se utilizeze metodele teoriei sistemelor și analiza sistemului care vizează activarea intuiției și experienței specialiștilor.

Una dintre metodele de protecție a informațiilor băncii este de a controla pasajul și înregistrarea informațiilor secrete. Cea mai semnificativă în această problemă este de a stabili alternative extrem de sigure la schimbul de fișiere din cadrul Băncii.

Pentru a proteja informațiile băncii, sunt utilizate conceptele de identificare, caracterizând disponibilitatea drepturilor de acces la date. În acest scop, utilizați sistemul de parole pentru a intra în rețeaua locală a băncii. Acestea pot fi selectate de către utilizator, generate de sistem sau să le aloce de către managerul de securitate. În plus, există carduri de acces din plastic cu cip. Cu ajutorul unui algoritm special, sistemul codifică și face datele individuale ale unui anumit utilizator. Tastele electronice acționează atunci când contactați mecanismul de pe ușile instalate în sălile secrete, în server și PC-uri utilizator.

Protecția informațiilor băncii va funcționa în mod fiabil numai atunci când sistemul de amenințări externe este determinat în timp util. În mediul extern al sistemului, următoarele tipuri de amenințări la informație sunt separate, tabelul. unu.

Tabelul 1. Tipuri de amenințări de informații în mediul extern

	Numele amenințării	Caracteristică
	Încălcarea integrității fizice	distrugerea, distrugerea elementelor
	Încălcarea integrității logice	distrugerea conexiunilor logice
	modificarea conținutului.	schimbarea blocurilor de informații, impunerea externă a informațiilor false
	Încălcarea confidențialității	protecția apărării, reducerea gradului de securitate a informațiilor
	Încălcarea dreptului de proprietate asupra informațiilor	copiere neautorizată

Planificarea sistemelor de protecție a datelor pentru companie ar trebui să faciliteze scăderea rezultatelor negative relevante legate de aplicarea tehnologiilor informaționale și să garanteze posibilitatea punerii în aplicare a obiectivelor și obiectivelor cheie ale instituției de credit. Modele de construcție atunci când proiectarea sau modernizarea sistemului de protecție a datelor în bănci reprezintă un mijloc natural de rezolvare a problemelor de analiză și proiectare cu cele mai mici costuri și returnări semnificative. Băncile utilizează modelul violatorului de securitate a informațiilor, care include:

1. Descrierea violatorilor de securitate a informațiilor;
2. Clasificarea violatorilor de securitate a informațiilor;
3. Descrierea experienței și cunoașterii intrușilor;
4. O descriere a resurselor disponibile necesare pentru punerea în aplicare a amenințării;
5. O descriere a posibilei motivații a acțiunilor intrusului;
6. Modalități de implementare a amenințărilor de securitate a informațiilor de către violatorii specificați.

Pentru a construi un model de încălcător, informații de la serviciul de securitate, unitățile de risc și serviciul de control intern al Băncii privind mijloacele existente de accesare a informațiilor și prelucrării, asupra posibilelor metode de interceptare a datelor în stadiul de transfer, prelucrare și depozitare, pe Setarea în echipă și în obiectul protecției, informații despre concurenți și situația de pe piață, despre cazurile de furt de informații și altele asemenea. .

În plus, capacitățile tehnice operaționale reale ale infractorului sunt estimate să influențeze conceptul de protecție sau pe obiectul protejat. În cadrul capabilităților tehnice se înțelege ca o listă a diferitelor tehnice, că infractorul poate fi plasat în timpul funcționării operațiunilor care vizează sistemul de protecție a informațiilor.

În cele din urmă, trebuie remarcat faptul că utilizarea eficientă a modelelor este permisă numai cu datele sursă de înaltă calitate necesare pentru a descrie modelele la rezolvarea sarcinilor de protecție. Faptul că cantitatea covârșitoare a datelor sursă are un grad ridicat de incertitudine. Din acest motiv, este necesar să nu simulați datele necesare, ci să le facem în mod regulat evaluarea și concretizarea.

Lista bibliografică:

1. Alshanskaya, T. V. Aplicarea metodelor de analiză a sistemului de către experții privind securitatea informațiilor [Text] / T. V. ALSHANSKAYA. Sisteme și tehnologii informatice: Management și securitate: Sat. Artă. III Corespondență internațională Conferința științifică și practică / statul Volga. Universitatea de Service. - Tilyatti: Editura PVGUS, 2014. - 348 p.
2. Trofimova, V. V. Sisteme informatice și tehnologii în economie și management [Text] / V.V. Trofimova. M.: YUIT, 2012. - 521 p.
3. Legea federală "privind informarea, tehnologiile informaționale și protecția informațiilor" din 07/27/2006 nr. 149-FZ

Activitățile bancare au fost întotdeauna asociate cu prelucrarea și stocarea unui număr mare de date confidențiale. În primul rând, acestea sunt date personale despre clienți, contribuțiile lor și toate operațiunile efectuate.

Toate informațiile comerciale stocate și procesate în organizații de crediteste supusă unei mari varietăți de riscuri asociate cu viruși, eșecul hardware-ului, eșecurile sistemului operațional etc. Dar aceste probleme nu sunt capabile să provoace daune grave. Copierea de rezervă zilnică a datelor, fără de care activitatea sistemului informațional al oricărei întreprinderi este de neconceput, reduce riscul unei pierderi irevocabile a informațiilor la un nivel minim. În plus, metodele de protecție împotriva amenințărilor enumerate sunt bine concepute și proiectate pe scară largă. Prin urmare, riscurile asociate cu accesul neautorizat la informațiile confidențiale (NSD) vin în prim plan.

Accesul neautorizat este realitatea.

Până în prezent, trei moduri de furtul de informații confidențiale sunt cele mai frecvente. În primul rând, accesul fizic la locurile sale de depozitare și prelucrare. Există multe opțiuni aici. De exemplu, atacatorii pot urca biroul bancar pe timp de noapte și pot fura hard disk-uri cu toate bazele de date. Este posibil chiar și un defect armat, scopul căruia nu este bani, ci informații. Situația nu este exclusă când angajatul băncii însuși poate purta un transportator de informații în afara teritoriului.

În al doilea rând, utilizarea de backup-uri. În majoritatea băncilor, sistemul de redundanță al datelor importante se bazează pe pași. Acestea înregistrează copiile create pentru benzi magnetice, care sunt apoi stocate într-un loc separat. Accesul la ele este reglementat mult mai ușor. Când sunt transportate și stocate, un număr relativ mare de oameni pot elimina copii de la ei. Riscurile asociate cu date confidențiale de backup nu pot fi subestimate. De exemplu, majoritatea experților sunt încrezători că bazele de date ale băncii centrale a Federației Ruse din 2005 au fost furate datorită copiilor din benzi magnetice. În practica mondială, există o mulțime de incidente similare. În special, în luna septembrie a anului trecut, personalul de servicii de carduri (Divizia Jpmorgan Chase & Co.), un furnizor de carduri de credit, în mod eronat a lovit cinci benzi magnetice cu copii de rezervă care conțin informații de aproximativ 2,6 milioane de deținători de cont de credit Circuit Circuit.

În al treilea rând, modul cel mai probabil de scurgere a informațiilor confidențiale este accesul neautorizat al angajaților băncii. Atunci când este utilizat pentru a separa drepturile instrumentelor standard ale sistemelor de operare, utilizatorii au adesea capacitatea de a utiliza indirect (un anumit software) copiați în întregime bazele de date cu care lucrează și le fac din companie. Uneori angajații o fac fără intenție rău intenționată, doar pentru a lucra cu informațiile de acasă. Cu toate acestea, astfel de acțiuni reprezintă o încălcare majoră a securității și pot deveni (și devin!) Motivul publicității datelor confidențiale.

În plus, în orice bancă există un grup de persoane care au în privilegii ridicate în rețeaua locală. Vorbim despre administratorii de sistem. Pe de o parte, este necesar ca ei să îndeplinească îndatoririle oficiale. Dar, pe de altă parte, au ocazia să acceseze orice informație și "verificați piesele".

Astfel, sistemul de protecție informații bancare De la accesul neautorizat ar trebui să fie alcătuit din cel puțin trei subsisteme, fiecare dintre ele asigură protecția împotriva tipului său de amenințări. Acesta este un subsistem de protecție împotriva accesului fizic la date, subsistem de securitate de siguranță și subsisteme de securitate ale insiderilor. Și este de dorit să nu neglijați niciunul dintre ele, deoarece fiecare amenințare poate provoca divulgarea datelor confidențiale.

Legea băncilor nu este scrisă?

În prezent, activitățile băncilor sunt reglementate de legea federală "despre bănci și activități bancare". În ea, printre altele, este introdus conceptul de "mister bancar". Potrivit acestuia, orice organizație de credit este obligată să asigure confidențialitatea tuturor datelor privind depozitele clienților. Pentru dezvăluirea lor, este responsabilă, inclusiv rambursarea daunelor datorate scurgerilor. În același timp, nu sunt prezentate cerințe privind securitatea sistemelor de informare bancare. Aceasta înseamnă că toate deciziile privind protecția băncilor de date comerciale sunt acceptate independent, pe baza experienței specialiștilor sau a companiilor terțe (de exemplu, efectuând un audit al securității informațiilor). Singura recomandare este standardul Băncii Centrale a Federației Ruse "Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. General. " A apărut pentru prima dată în 2004, iar în 2006 a fost adoptată o nouă versiune. La crearea și rafinarea acestui document departamental, au fost utilizate standardele ruse și internaționale existente în domeniul securității informațiilor.

Banca centrală a Federației Ruse poate recomanda numai alte bănci, dar nu poate insista asupra implementării obligatorii. În plus, în standard există mici cerințe clare care determină alegerea produselor specifice. El este cu siguranță important, dar în acest moment nu are o valoare practică gravă. De exemplu, despre produsele certificate în acesta se spune că: "... pot fi utilizate instrumente certificate sau autorizate pentru protecția informațiilor de la NSD. Lista corespunzătoare lipsește.

Enumerate în standard și cerințe pentru mijloace criptografice de protejare a informațiilor în bănci. Și aici există deja o definiție mai mult sau mai puțin clară: "Ski ... ar trebui să fie pusă în aplicare pe baza algoritmilor care îndeplinesc standardele naționale ale Federației Ruse, termenii contractului cu contrapartida și (sau) standardele de organizare". Confirmați corespondența modulului criptografic GOST 28147-89 poate fi realizat prin certificare. Prin urmare, atunci când este utilizat în sistemul de sisteme de criptare, este de dorit să se aplice FSB certificat al software-ului Federației Ruse sau criptoproviderii hardware, adică modulele externe care sunt conectate la software și procesul curent de criptare.

În luna iulie a anului trecut, a fost adoptată legea federală a Federației Ruse "privind datele cu caracter personal", care a intrat în vigoare la 1 ianuarie 2007. Unii experți asociați cu el apariția unor cerințe mai specifice pentru sistemele de protecție bancară, deoarece băncile aparțin organizațiilor care prelucrează date cu caracter personal. Cu toate acestea, legea însăși este cu siguranță foarte importantă în general, astăzi nu se aplică în practică. Problema constă în absența standardelor pentru protecția datelor și organelor private care ar putea controla executarea acestora. Adică se pare că băncile în prezent sunt libere în alegerea sistemelor de protecție a informațiilor comerciale.

Protecția accesului fizic

Băncile plătesc în mod tradițional o atenție deosebită siguranței fizice a birourilor de operare, a ramurilor de stocare a proprietății etc. Toate acestea reduc riscul accesului neautorizat la informații comerciale prin acces fizic. Cu toate acestea, birourile bancare și clădiri tehniceCe servere gazdă, în funcție de gradul de protecție, nu diferă de obicei de la oficiile altor companii. Prin urmare, pentru a minimiza riscurile descrise, este necesar să se utilizeze un sistem de protecție criptografică.

Astăzi există un număr mare de utilități pe piață care criptează datele. Cu toate acestea, caracteristicile prelucrării acestora în bănci impun cerințelor suplimentare adecvate. În primul rând, în sistemul de protecție criptografică, trebuie implementat principiul criptării transparente. Când o utilizați, datele sunt în mare parte depozitare sunt întotdeauna numai codate. În plus, această tehnologie vă permite să minimalizați costurile obișnuite de muncă. Nu au nevoie să descifreze și să cripteze în fiecare zi. Accesul la informații se efectuează utilizând un software special instalat pe server. Acesta decriptează automat informațiile atunci când se accesează și criptează înainte de a scrie pe hard disk. Aceste operațiuni sunt efectuate direct în RAM de server.

În al doilea rând, bazele de date bancare sunt foarte voluminoase. Astfel, sistemul criptografic de protecție a informațiilor ar trebui să funcționeze cu virtuale, ci cu partițiile reale ale hard disk-urilor, rețelele RAID și altor transportatori de informații despre server, de exemplu, cu instalațiile de depozitare SAN. Faptul este că fișierele de containere care pot fi conectate la sistem ca discuri virtuale nu sunt destinate să funcționeze cu cantități mari de date. În cazul în care un disc virtual creat dintr-un astfel de fișier are o dimensiune mare, atunci când accesează simultan, chiar și mai mulți oameni, puteți observa o reducere semnificativă a vitezei de citire și scriere a informațiilor. Activitatea câtorva duzină de oameni cu un fișier de containere cu volum mare se poate transforma într-un chin vizual. În plus, trebuie să se țină cont de faptul că aceste obiecte sunt supuse riscului de deteriorare datorată virușilor, eșecurilor sistemului de fișiere etc. La urma urmei, în esență, ele reprezintă fișiere obișnuite, dar destul de mari. Și chiar și schimbarea lor mică poate duce la imposibilitatea de a decodifica întreaga informație conținută în ea. Ambele cerințe obligatorii îngustează semnificativ cercul adecvat pentru protecția produselor. De fapt astăzi piața rusă Există doar câteva astfel de sisteme.

Nu este necesar să se ia în considerare caracteristicile tehnice ale sistemelor de server de protecție criptografică a informațiilor, deoarece într-unul din numerele din trecut am comparat deja aceste produse. (StoolyArov N., DAVLETKANOV M. UTM-protecție.) Dar merită remarcat unele dintre caracteristicile unor astfel de sisteme, a căror prezență este, de preferință, pentru bănci. Primul este asociat cu certificarea deja menționată a modulului criptografic utilizat. Software-ul sau hardware-ul corespunzător este deja în majoritatea băncilor. Prin urmare, sistemul de securitate al serverului trebuie să asigure posibilitatea conectării acestora și a utilizării. A doua cerință specială pentru sistemul de securitate a informațiilor este posibilitatea integrării sistemului de securitate fizică al camerei de birou și / sau al serverului. Acest lucru vă permite să protejați informațiile de la accesul neautorizat asociat furtului, hacking-ului etc.

O atenție deosebită în bănci ar trebui acordată siguranței informațiilor, deoarece este de fapt banii clienților. Prin urmare, în sistemul de protecție, trebuie furnizate posibilități speciale pentru a minimiza riscul pierderii sale. Unul dintre cele mai notabile este funcția de determinare a sectoare stricate pe hard disk. În plus, posibilitatea de suspendare și anulare a proceselor de criptare inițială a discului, decriptarea și agitarea acestuia este cea mai importantă. Acestea sunt proceduri destul de lungi, orice eșec în timpul cărora amenință pierderea completă a tuturor datelor.

Un impact foarte mare asupra riscurilor asociate cu accesul neautorizat la informațiile confidențiale are un factor uman. Prin urmare, este de dorit ca sistemul de protecție să prevadă posibilitatea de a reduce astfel de relații. Acest lucru este realizat prin utilizarea unor instrumente de stocare fiabile pentru tastele de criptare - carduri inteligente sau tastele USB. OPTIMAL este intrarea acestor jetoane în produs, permite nu numai optimizarea costurilor, ci și compatibilitatea completă a software-ului și a hardware-ului.

O altă caracteristică importantă care vă permite să minimalizați influența factorului uman asupra fiabilității sistemului de protecție este cvorumul cheilor. Esența sa se află în diviziunea cheii de criptare în mai multe părți, fiecare dintre acestea fiind acordată utilizării unui angajat responsabil. Pentru a conecta discul închis, este necesară prezența unui număr dat de piese. Mai mult decât atât, poate fi mai mică decât numărul total de părți ale cheii. Această abordare vă permite să asigurați date de la utilizarea necorespunzătoare a angajaților responsabili și oferă, de asemenea, flexibilitatea necesară de a lucra.

Protecția copiilor de rezervă

Rezervarea periodică a întregii informații stocate în bancă este o măsură absolut necesară. Vă permite să reduceți în mod semnificativ pierderile în cazul unor probleme, cum ar fi daunele asupra virușilor, eșecul hardware etc. Dar, în același timp, sporește riscurile asociate cu accesul neautorizat. Practica arată că mass-media pe care sunt înregistrate copii de rezervă nu ar trebui să fie stocate în camera de servere, ci într-o altă cameră sau chiar o clădire. În caz contrar, când apare un incendiu sau un alt incident grav, pierdut irevocabil poate fi atât datele, cât și arhivele acestora. Puteți proteja în siguranță copiile de backup de la utilizarea neautorizată folosind criptografia. În acest caz, menținând criptarea cheie în sine, ofițerul de securitate poate transmite în mod calm mass-media cu arhivele de personal tehnic.

Principala complexitate în organizarea protecției criptografice a copiilor de backup este necesitatea de a separa sarcinile pentru gestionarea arhivării datelor. Pentru a configura și implementa procesul de backup însuși, un administrator de sistem sau un alt responsabil tehnic. Pentru a gestiona aceeași criptare a informațiilor, trebuie să fie un angajator responsabil - ofițer de securitate. În acest caz, este necesar să se înțeleagă că rezervarea în majoritatea covârșitoare este efectuată în modul automat. Puteți rezolva această problemă numai prin "încorporarea" sistemului de protecție criptografică între sistemul de comandă de rezervă și dispozitivele care înregistrează date (streamers, DVD-uri etc.).

Astfel, produsele criptografice pentru posibilitatea utilizării lor în bănci ar trebui, de asemenea, să poată lucra cu diverse dispozitive utilizate pentru a înregistra copii de rezervă la mass-media: pași, unități CD- și DVD, discuri dur detașabile etc.

Astăzi există trei tipuri de produse concepute pentru a minimiza riscurile asociate cu accesul neautorizat la copiile de rezervă. Primul include dispozitive speciale. Astfel de soluții hardware au multe avantaje, inclusiv criptarea fiabilă a informațiilor și viteza mare. Cu toate acestea, ei posedă trei dezavantaje semnificative care nu le permit să le utilizeze în bănci. Primul: cost foarte mare (zeci de mii de dolari). În al doilea rând: probleme posibile cu importul în Rusia (nu puteți uita că vorbim despre mijloace criptografice). Al treilea minus este incapacitatea de a conecta criptoprodes certificat extern. Aceste plăci funcționează numai cu algoritmi de criptare implementați în nivelul hardware.

Cel de-al doilea grup de sisteme de protecție criptografică pentru copii de rezervă reprezintă module care oferă dezvoltatorilor de software software și hardware pentru copii de rezervă. Ele există pentru toate cele mai renumite produse din acest domeniu: Arcserve, Veritas Backup Extan și alții. Adevărat și au caracteristici proprii. Cea mai importantă este lucrările numai cu software-ul sau unitatea dvs. "dvs.". Între timp, sistemul informatic al băncii evoluează în mod constant. Și este posibil ca înlocuirea sau extinderea sistemului de backup să poată necesita costuri suplimentare pentru a modifica sistemul de protecție. În plus, în majoritatea produselor din acest grup, sunt implementate algoritmi vechi de criptare lentă (de exemplu, 3DES), nu există instrumente de management esențiale, nu există posibilitatea de a conecta criptoproviderii externi.

Toate acestea permit o atenție deosebită sistemelor de protecție criptografică ale copiilor de backup din cel de-al treilea grup. Acesta include produse software special concepute, software și hardware și produse hardware care nu sunt afectate de sisteme specifice de arhivare a datelor. Acestea susțin o gamă largă de dispozitive de înregistrare a informațiilor, ceea ce le permite să le aplice în întreaga bancă, inclusiv toate ramurile sale. Acest lucru asigură uniformitatea instrumentelor utilizate și minimizând costurile de operare.

Adevărat, merită remarcat faptul că, în ciuda tuturor avantajelor lor, unele produse din cel de-al treilea grup sunt reprezentate pe piață. Acest lucru se datorează cel mai probabil din cauza lipsei unei mari cereri pentru sistemele de protecție criptografică de copie de backup. De îndată ce conducerea băncilor și a altor organizații majore este conștientă de realitatea riscurilor asociate arhivării informațiilor comerciale, numărul de jucători de pe această piață va crește.

Protecție împotriva insiderilor

Cercetările recente în domeniul securității informațiilor, cum ar fi CSI / FBI-ul anual al CSI / FBI-ul de securitate, a arătat că pierderile financiare ale companiilor din majoritatea amenințărilor sunt în scădere din anul respectiv. Cu toate acestea, există mai multe riscuri, pierderile din care cresc. Unul dintre aceștia este furtul intenționat al informațiilor confidențiale sau o încălcare a normelor de tratament a acestuia de către acei angajați ai căror acces la datele comerciale este necesar pentru a îndeplini îndatoririle oficiale. Ele sunt numite insideri.

În majoritatea covârșitoare a cazurilor, furtul de informații confidențiale se efectuează utilizând Media Mobile: CD și DVD-uri, dispozitive ZIP și, cel mai important, tot felul de unități USB. Este distribuția lor de masă și a condus la înflorirea insiderului la nivel mondial. Liderii majorității băncilor înțeleg perfect ceea ce pot amenința, de exemplu, baza de date din datele personale de la clienții lor sau, în special, cablarea în conturile lor în mâinile structurilor criminale. Și încearcă să lupte cu furtul probabil al informațiilor disponibile prin metode organizaționale.

Cu toate acestea, metodele organizaționale în acest caz sunt ineficiente. Astăzi puteți organiza transferul de informații între computere utilizând o unitate flash miniaturală, un telefon mobil, un player MP3, o cameră digitală ... Desigur, puteți încerca să interziceți toate aceste dispozitive în birou, dar acest lucru, în primul rând, Va afecta negativ relația cu angajații și în al doilea rând, pentru a stabili un control foarte eficient asupra oamenilor este încă foarte dificil - banca nu este o "cutie poștală". Și chiar oprirea pe computere Toate dispozitivele care pot fi utilizate pentru a înregistra informații despre transportatorii externi (discuri FDD și ZIP, unități CD și DVD etc.), iar porturile USB nu vor ajuta. La urma urmei, primul este necesar pentru muncă, iar al doilea este conectat prin diferite periferice: imprimante, scanere etc. Și nimeni nu poate împiedica o persoană să dezactiveze imprimanta pentru un minut, introduceți o unitate flash în portul liber și copiați informații importante. Puteți, desigur, să găsiți modalități originale de a vă proteja. De exemplu, într-o singură bancă, o astfel de metodă de rezolvare a problemei a încercat: o conexiune de port USB și un cablu de rășină epoxidică au fost turnați, strâns "legați" ultimul la computer. Dar, din fericire, astăzi există metode mai moderne, fiabile și flexibile de monitorizare.

Cele mai eficiente mijloace de minimizare a riscurilor asociate cu Insider este software-ul special care exercită o gestionare dinamică a tuturor dispozitivelor și porturilor calculatorului care pot fi utilizate pentru a copia informațiile. Principiul muncii lor este așa. Pentru fiecare grup de utilizatori sau pentru fiecare utilizator, permisiunile sunt setate să utilizeze diferite porturi și dispozitive. Cel mai mare avantaj al acestui software este flexibil. Puteți introduce restricții pentru anumite tipuri de dispozitive, modelele lor și instanțele individuale. Acest lucru vă permite să implementați politici foarte complexe de acces la drepturile de acces.

De exemplu, unii angajați vă pot permite să utilizați toate imprimantele și scanerele conectate la porturile USB. Toate dispozitivele rămase introduse în acest port vor rămâne inaccesibile. Dacă banca este utilizată în bancă, un sistem de autentificare bazat pe token, apoi în setările puteți specifica tastele utilizate. Apoi, utilizatorii li se va permite să utilizeze numai dispozitivul achiziționat de companie, iar ceilalți vor fi inutili.

Pe baza principiului funcționării sistemelor de protecție descrise mai sus, se poate înțelege momentele importante atunci când alegeți programe care implementează blocarea dinamică a înregistrărilor și porturilor computerului. În primul rând, aceasta este o versatilitate. Sistemul de protecție trebuie să acopere întregul spectru de porturi posibile și dispozitive I / O. În caz contrar, riscul de furturi de informații comerciale rămâne inacceptabil ridicat. În al doilea rând, următoarele ar trebui să fie flexibile și să ne permită să creăm reguli utilizând un număr mare de informații diverse despre dispozitivele: tipurile lor, producătorii modelelor, numerele unice care au fiecare instanță etc. În al treilea rând, sistemul de protecție al insiderilor ar trebui să poată integra cu sistemul informatic al băncii, în special cu Directory Active. În caz contrar, administratorul sau ofițerul securității va trebui să efectueze două baze de date ale utilizatorilor și computerelor, ceea ce nu este numai incomod, ci și creșterea riscurilor de erori.

Să ne însumăm

Deci, astăzi există produse pe piață cu care orice bancă poate aranja sistem fiabil Protecția informațiilor de la accesul neautorizat și utilizarea necorespunzătoare. Adevărat, când aleg, trebuie să fii foarte prudent. În mod ideal, acest lucru ar trebui să se ocupe de propriii experți ai nivelului relevant. Este permisă utilizarea companiilor străine. Cu toate acestea, în acest caz, este posibilă o situație atunci când Banca va fi impusă cu pricepere pe software-ul nu adecvat și care este benefic pentru furnizorul companiei. În plus, piața internă de consultanță în domeniul securității informațiilor este în copilărie.

Între timp, faceți alegerea potrivită destul de simplă. Este suficient ca ARMA, criteriile noastre enumerate de noi și examinează cu atenție piața sistemului de siguranță. Dar există o "piatră subacvatică", care trebuie amintită. În cazul ideal, sistemul de securitate al informațiilor băncii trebuie să fie unit. Adică, toate subsistemele ar trebui integrate în sistemul informatic existent și, este de dorit să se facă un management comun. În caz contrar, creșterea costurilor forței de muncă sunt inevitabile pentru protecția administrativă și creșterea riscurilor datorate erorilor în management. Prin urmare, pentru a construi toate cele trei pretensiuni descrise astăzi, este mai bine să alegeți produsele emise de un dezvoltator. Astăzi există companii din Rusia care creează tot ce este necesar pentru a proteja informațiile bancare de la accesul neautorizat.

Strategia de securitate a informațiilor a băncilor este foarte diferită de strategii similare de la alte companii și organizații. Acest lucru se datorează în primul rând naturii specifice a amenințărilor, precum și activității publice a băncilor care sunt forțate să facă accesul la conturi sunt suficient de ușor de confort pentru clienți.

Compania obișnuită își construiește securitatea informațiilor, procedând doar dintr-un cerc îngust de amenințări potențiale - în principal protecția informațiilor de la concurenți (în realitățile rusești, sarcina principală este de a proteja informațiile de la autoritățile fiscale și comunitatea criminală pentru a reduce probabilitatea creșterii incontrolabile a plăților fiscale și a rasetei). Aceste informații sunt interesante doar unui cerc îngust de partide interesate și organizații și este rar lichid, adică. Asamblați într-o formă monetară.

Securitatea informațională a băncii trebuie să țină seama de următorii factori specifici:

1. Stocarea și procesarea în informațiile despre sistemele bancare sunt bani reali. Pe baza informațiilor despre calculator, pot fi plătite plăți, împrumuturi pentru a deschide, traduce cantități semnificative. Este clar că manipularea ilegală cu astfel de informații poate duce la pierderi grave. Această caracteristică extinde brusc cercul cercului brusc pe bănci (spre deosebire de, de exemplu, companiile industriale, informațiile interne sunt de interes mic).

2. Informațiile în sistemele bancare afectează interesele unui număr mare de persoane și organizații - clienții băncii. De regulă, este confidențial, iar banca este responsabilă pentru furnizarea gradului necesar de secret clienților săi. Firește, clienții au dreptul să se aștepte ca banca să aibă grijă de interesele lor, altfel își riscă reputația cu toate consecințele care apar.

3. Competitivitatea băncii depinde de cât de convenabil să colaboreze cu banca, precum și cât de largă gama de servicii furnizate, inclusiv serviciile legate de accesul la distanță. Prin urmare, clientul ar trebui să fie capabil să facă rapid și fără proceduri obositoare pentru a-și dispune banii. Dar o asemenea ușurință a accesului la bani crește probabilitatea de penetrare penală în sistemele bancare.

4. Securitatea informațiilor Băncii (spre deosebire de majoritatea companiilor) ar trebui să asigure o fiabilitate ridicată a sistemelor informatice, chiar și în caz de situații de urgență, deoarece banca este responsabilă nu numai pentru fondurile sale, ci și pentru banii clienților.

5. Banca stochează informații importante despre clienții săi, ceea ce extinde gama de intruși potențiali interesați de furt sau deteriorarea acestor informații.

Crimele din sectorul bancar au, de asemenea, propriile lor caracteristici:

Multe crime comise în sfera financiară rămân necunoscuți publicului larg datorită faptului că managerii banca nu doresc să-și perturbe acționarii, îi este frică să-și expună organizațiile la noile atacuri, se tem de reputația lor de fonduri fiabile de fonduri și, ca rezultat, pierderea clienților.

De regulă, atacatorii folosesc de obicei conturile proprii la care sunt traduse cantități răpte. Majoritatea criminalilor nu știu cum să se spală "bani furați. Abilitatea de a comite o crimă și abilitatea de a obține bani nu este același lucru.

Cele mai multe crime de calculator sunt mici. Daunele de la acestea se află în intervalul de la 10.000 $ la 50.000 $.

Crime de calculator de succes, de regulă, necesită un număr mare de operațiuni bancare (până la câteva sute). Cu toate acestea, sumele mari pot fi trimise și în doar câteva tranzacții.

Majoritatea atacatorilor sunt grefieri. Deși personalul cel mai înalt al băncii poate, de asemenea, să comită crime și să pună banca mult mai multe daune - astfel de cazuri sunt singure.

Crimele de calculator nu sunt întotdeauna de înaltă tehnologie. Este suficient să falsificați date, modificări ale parametrilor mediului ASOIB etc., iar aceste acțiuni sunt accesibile atât personalului de serviciu.

Mulți atacatori își explică acțiunile prin faptul că ei iau numai datorii de către bancă cu întoarcerea ulterioară. Cu toate acestea, "întoarcerea", de regulă, nu apare.

Specificul protecției sistemelor automate de prelucrare a informațiilor băncilor (ASOIB) se datorează caracteristicilor sarcinilor soluționate de acestea:

AsOB este de obicei tratată un flux mare de solicitări primite în timp real, fiecare dintre acestea nu necesită prelucrarea numeroaselor resurse, dar împreună pot fi tratate numai cu un sistem de înaltă performanță;

ASOIB este stocat și informațiile confidențiale sunt procesate, care nu sunt destinate publicului larg. Fake sau scurgerile sale pot duce la consecințele grave (pentru bancă sau clienții săi). Prin urmare, ASOB este sortit să rămână relativ închis, să lucreze sub controlul software-ului specific și să acorde o mare atenție pentru a-și asigura siguranța;

O altă caracteristică a ASOIB este cerințele sporite pentru fiabilitatea hardware-ului și a software-ului. În virtutea acestui fapt, multe asoi moderne sunt la așa-numita arhitectură tolerantă a defecțiunilor, ceea ce face posibilă efectuarea procesării continue a informațiilor chiar și în condiții de diferite defecțiuni și defecțiuni.

Puteți selecta două tipuri de sarcini rezolvate AsOib:

1. Analitic. Acest tip include sarcini de planificare, analiză a contului etc. Ele nu sunt operaționale și pot necesita rezolvarea unei lungi timp, iar rezultatele lor pot afecta politica băncii cu privire la un anumit client sau un proiect. Prin urmare, subsistemul cu care sunt rezolvate sarcinile analitice trebuie să fie izolate în siguranță din sistemul principal de procesare a informațiilor. Pentru a rezolva astfel de probleme, nu există, de obicei, resurse puternice de calcul, de obicei 10-20% din capacitatea întregului sistem este de obicei suficientă. Cu toate acestea, datorită posibila valoare a rezultatelor, protecția acestora trebuie să fie permanentă.

2. Casual. Acest tip include sarcinile rezolvate în activitatea de zi cu zi, în primul rând, plățile și ajustați conturile. Acestea determină mărimea și capacitatea sistemului principal al băncii; Pentru a le rezolva, este de obicei nevoie de mult mai multe resurse decât pentru sarcinile analitice. În același timp, valoarea informațiilor prelucrate la rezolvarea acestor sarcini este temporară. Treptat, valoarea informațiilor, de exemplu, pentru a efectua orice plată, devine relevantă. Firește, depinde de mulți factori, cumva: sumele și timpul de plată, numerele de cont, caracteristicile suplimentare etc. Prin urmare, este de obicei suficientă protejarea plății tocmai la momentul punerii sale în aplicare. În acest caz, protecția procesului de procesare și a rezultatelor finale ar trebui să fie permanentă.

Ce măsuri de protecție a sistemelor de procesare a informațiilor sunt preferate de specialiștii străini? Această întrebare se poate răspunde utilizând rezultatele sondajului efectuate de Grupul de informații DataPro în 1994 între bănci și instituții financiare:

Politicile de securitate a informațiilor formulate au 82% dintre respondenți. Comparativ cu anul 1991, procentul organizațiilor cu politici de securitate a crescut cu 13%.

Alți 12% dintre respondenți intenționează să dezvolte politici de securitate. Următoarea tendință este în mod clar pronunțată: organizațiile cu un număr mare de personal preferă să aibă o politică de securitate dezvoltată mai mult decâtdecât organizațiile cu un număr mic de personal. De exemplu, potrivit acestei sondaje, doar 66% dintre organizații, cu numărul de angajați mai puțin de 100 de persoane au politici de securitate, în timp ce pentru organizațiile cu numărul de angajați mai mult de 5.000 de persoane, ponderea acestor organizații este de 99%.

În 88% dintre organizațiile cu politici de securitate a informațiilor, există o diviziune specială care este responsabilă de punerea sa în aplicare. În acele organizații care nu conțin o astfel de unitate, aceste funcții sunt încredințate în principal administratorului sistemului (29%), asupra managerului de sistem informatic (27%) sau la serviciul de securitate fizică (25%). Aceasta înseamnă că există o tendință de alocare a angajaților responsabili pentru securitatea computerizată într-o diviziune specială.

În ceea ce privește protecția, se acordă o atenție deosebită protecției rețelelor informatice (90%), computerelor mari (82%), recuperarea informațiilor după accidente și dezastre (73%), protecția împotriva virușilor de calculator (72%), protecția Calculatoare personale (69%).

Următoarele concluzii pot fi trase cu privire la caracteristicile protecției informațiilor în sistemele financiare străine:

Principalul lucru în apărarea organizațiilor financiare este operațional și, dacă este posibil, recuperarea completă a informațiilor după accidente și defecțiuni. Aproximativ 60% dintre respondenții organizațiilor financiare au un plan pentru o astfel de recuperare, care este revizuită anual în mai mult de 80% dintre aceștia. Practic, protecția informațiilor de la distrugere este realizată prin crearea de backup-uri și de stocarea externă a acestora, utilizarea alimentării cu energie neîntreruptă și organizarea rezervei hardware "Hot".

Următoarea problemă este la fel de importantă pentru organizațiile financiare - aceasta este gestionarea accesului utilizatorilor la informații stocate și prelucrate. Există pe scară largă sisteme de control diferite, care pot înlocui uneori software-ul antivirus. Utilizați în principal software-ul de control al accesului achiziționat. Mai mult, în instituțiile financiare, o atenție specială este acordată acestor utilizatori la rețea. Cu toate acestea, controalele de acces certificate sunt extrem de rare (3%). Acest lucru poate fi explicat prin faptul că cu software-ul certificat, este dificil de lucrat și sunt extrem de costisitoare în funcțiune. Acest lucru se explică prin faptul că parametrii de certificare au fost elaborați ținând cont de cerințele pentru sistemele militare.

Cu privire la diferențele de protecție a protecției rețelelor informatice în instituțiile financiare includ utilizarea pe scară largă a standardului (adică adaptat, dar nu este conceput pentru o anumită organizație) software comercial pentru controlul accesului la rețea (82%), protecția conexiunii la puncte sistem prin comunicarea liniilor comutate (69%). Cel mai probabil, acest lucru se datorează prevalenței mai mari a telecomunicațiilor în zonele financiare și dorinței de a proteja împotriva interferențelor exterioare. Alte metode de protecție, cum ar fi utilizarea de criptare antivirus, terminale și canal a datelor transmise, autentificarea mesajelor sunt aproximativ aceleași și în principal (cu excepția agenților antivirus), mai puțin de 50% din organizațiile intervievate.

O atenție deosebită în instituțiile financiare este acordată protecției fizice a spațiilor în care sunt amplasate computerele (aproximativ 40%). Aceasta înseamnă că protecția calculatorului de la accesul la persoane neautorizate este rezolvată nu numai cu ajutorul software-ului, ci și organizațional și tehnic (securitatea, blocările de cod etc.).

Criptarea informațiilor locale este folosită de doar peste 20% din organizațiile financiare. Motivele pentru aceasta sunt complexitatea distribuției cheilor, a cerințelor stricte pentru viteza sistemului, precum și necesitatea recuperării operaționale a informațiilor în caz de defecțiuni și de eșecuri ale echipamentului.

În mod semnificativ, atenția în mod semnificativ în organizațiile financiare este acordată protecției liniilor telefonice de comunicații telefonice (4%) și utilizarea calculatorului dezvoltat, ținând cont de cerințele standardului Tempest (protecția împotriva scurgerilor de informații prin canalele și vârfurile de emisie electromagnetice). În organizațiile guvernamentale, rezolvarea problemei de a contracara informații folosind emisiile electromagnetice și depunerea plătește mult mai multă atenție.

O analiză a statisticilor vă permite să faceți o concluzie importantă: protecția organizațiilor financiare (inclusiv băncile) este oarecum diferită de organizațiile comerciale și de stat obișnuite. În consecință, protecția ASOB nu poate fi aplicată acelorași soluții tehnice și organizaționale care au fost dezvoltate pentru situații standard. Este imposibil să copiați fără minte sistemele altor persoane - au fost concepute pentru alte condiții.

De la apariția sa, băncile au provocat în mod constant interesul din partea lumii criminale. Iar acest interes a fost asociat nu numai cu depozitarea în instituțiile de credit de fonduri, ci și cu faptul că băncile au concentrat informații importante și adesea secrete privind activitățile financiare și economice ale multor persoane, companii, organizații și chiar state întregi. În prezent, secretul bancar este protejat de lege împreună cu secretul de stat.

În legătură cu informațiile și informatorii universale ale activităților bancare, importanța securității informațiilor băncilor a crescut în mod repetat. Încă 30 de ani în urmă, obiectul atacurilor de informare a fost date privind clienții băncilor sau asupra activităților băncii în sine. Astfel de atacuri au fost rare, cercul clienților lor a fost foarte îngust, iar daunele ar putea fi semnificative numai în cazuri speciale. În prezent, ca urmare a distribuției pe scară largă a plăților electronice, a cardurilor de plastic, a rețelelor de calculatoare, obiectul atacurilor de informații a devenit direct bani gheata ambele bănci și clienții lor. O încercare de a înfrumuseța poate cineva - numai prezența unui computer conectat la Internet. Și pentru că acest lucru nu este necesar, penetrarea fizică a băncii, puteți "lucra" și la mii de kilometri de ea.

Serviciile oferite de bănci de astăzi se bazează în mare măsură pe utilizarea interacțiunii electronice a băncilor între ele, bănci și clienți și partenerii lor comerciali. În prezent, accesul la bănci a devenit posibil din diferite puncte la distanță, inclusiv terminalele de acasă și computerele de service. Acest fapt cauzează să se îndepărteze de conceptul de "ușile încuiate", care a fost caracteristic băncilor în anii 1960, când computerele au fost utilizate în majoritatea cazurilor în modul lot ca ajutor și nu au nicio legătură cu lumea exterioară.

Sisteme informatice fără de care nici o bancă modernă nu poate face - sursa unor amenințări complet necunoscute anterior. Cele mai multe dintre ele se datorează utilizării banca de afaceri Noile tehnologii informaționale și sunt caracteristice nu numai pentru bănci.

Nivelul de echipament în automatizare prin intermediul automatizării joacă un rol important în activitățile băncii și, prin urmare, reflectate direct în poziția și venitul său. Consolidarea concurenței între bănci duce la necesitatea de a reduce timpul cu privire la producția de calcule, o creștere a nomenclaturii și de îmbunătățire a calității serviciilor furnizate.

Cu cât calculele dintre bancă și clienții vor lua, cu atât este mai mare cifra de afaceri a băncii și, prin urmare, profit. În plus, banca va răspunde mai repede la schimbarea situației financiare. O varietate de servicii bancare (în primul rând, acest lucru se referă la posibilitatea plăților fără numerar între Bancă și clienții săi folosind carduri de plastic) pot crește semnificativ numărul clienților săi și, ca rezultat, crește profiturile. În același timp, ABS Bank devine unul dintre cele mai vulnerabile locuri din întreaga organizație care atrage intruși din exterior și din rândul angajaților băncii în sine. Pentru a vă proteja și clienții lor, majoritatea băncilor fac măsurile de protecție necesare, inclusiv protecția ABS să ia unul dintre cele mai importante locuri. Protecția ABS Bank este un eveniment costisitor și complex, necesită nu numai investiții unice semnificative, ci prevede costul de susținere a sistemului de protecție la nivelul corespunzător. În medie, băncile în momentul susținerii unui nivel suficient de protecție cheltuiesc anual peste 20 de milioane de dolari.

Strategia de securitate a informațiilor a băncilor este foarte diferită de strategii similare de la alte companii și organizații. Acest lucru se datorează în primul rând naturii specifice a amenințărilor, precum și activității publice a băncilor care sunt forțate să facă accesul la conturi sunt suficient de ușor de confort pentru clienți.

Compania obișnuită își construiește securitatea informațiilor, procedând doar dintr-un cerc îngust de amenințări potențiale - în principal protecția informațiilor de la concurenți (în realitățile rusești, sarcina principală este de a proteja informațiile de la autoritățile fiscale și comunitatea criminală pentru a reduce probabilitatea de a reduce probabilitatea Creșterea necontrolată a plăților fiscale și a cursei). Aceste informații sunt interesante doar unui cerc îngust de părțile interesate și organizații și este rar lichid, adică transformarea într-o formă monetară.

7.2. Cerințe privind securitatea informațiilor bancare

Securitatea informațională a băncii trebuie să țină seama de următorii factori specifici:

1. Stocarea și procesarea în sistemele bancare sunt banii reali. Pe baza informațiilor despre calculator, pot fi plătite plăți, împrumuturi pentru a deschide, traduce cantități semnificative. Este clar că manipularea ilegală cu astfel de informații poate duce la pierderi grave. Această caracteristică extinde brusc cercul cercului pe bănci (spre deosebire de companiile industriale, dintre care informații interne sunt puține persoane care sunt interesate).
2. Informațiile din sistemele bancare afectează interesele unui număr mare de persoane și organizații - clienți bănci. De regulă, este confidențial, iar banca este responsabilă pentru furnizarea gradului necesar de secret clienților săi. Firește, clienții au dreptul să se aștepte ca banca să aibă grijă de interesele lor, altfel își riscă reputația cu toate consecințele care apar.
3. Competitivitatea băncii depinde de cât de convenabil să colaboreze cu banca, precum și de cât de largă gama de servicii furnizate, inclusiv serviciile legate de accesul la distanță. Prin urmare, clientul ar trebui să fie capabil să facă rapid și fără proceduri obositoare pentru a-și dispune banii. Dar o asemenea ușurință a accesului la bani crește probabilitatea de penetrare penală în sistemele bancare.
4. Securitatea informațiilor a băncii (spre deosebire de majoritatea companiilor) ar trebui să asigure o fiabilitate ridicată a sistemelor informatice, chiar și în cazul situațiilor de urgență, deoarece banca este responsabilă nu numai pentru fondurile sale, ci și pentru banii clienților.
5. Banca păstrează informații importante despre clienții săi, care extinde gama potențialilor intruși interesați de furtul sau deteriorarea acestor informații.

Crimele din sectorul bancar au, de asemenea, propriile lor caracteristici:

• Multe crime comise în sectorul financiar rămân necunoscute publicului larg datorită faptului că șefii băncilor nu doresc să perturbe acționarii, ei se tem să se supună organizației lor la noi atacuri, se tem de reputația lor de fonduri fiabile și, ca rezultat, pierderea clienților.
• De regulă, atacatorii își folosesc propriile conturi la care sunt traduse sumele răpite. Majoritatea criminalilor nu știu cum să se spală "bani furați. Abilitatea de a comite o crimă și abilitatea de a obține bani nu este același lucru.
• Cele mai multe crime de calculator sunt mici. Daune de la acestea se află în intervalul de la 10.000 $ la 50.000.
• Crime de calculator de succes, de regulă, necesită un număr mare de operațiuni bancare (până la câteva sute). Cu toate acestea, sumele mari pot fi trimise și în doar câteva tranzacții.
• Majoritatea atacatorilor sunt angajați ai băncilor de nivel scăzut, grefieri. Deși personalul cel mai înalt al băncii poate, de asemenea, să comită crime și să pună banca mult mai multe daune - astfel de cazuri sunt singure.
• Crimele de calculator nu sunt întotdeauna de înaltă tehnologie. Este suficient să falsificați datele, modificările parametrilor mediului ABS etc., iar aceste acțiuni sunt disponibile și personalul de service.
• Mulți atacatori își explică acțiunile prin faptul că ei iau numai datorii de către bancă cu întoarcerea ulterioară. Cu toate acestea, "întoarcerea", de regulă, nu apare.

Specificul protecției sistemelor automate de prelucrare a informațiilor băncilor (ABS) se datorează caracteristicilor sarcinilor soluționate de acestea:

• ABS gestionează un flux mare de solicitări primite în timp real, fiecare dintre acestea nu necesită să se ocupe de numeroase resurse, dar împreună pot fi procesate numai printr-un sistem de înaltă performanță.
• În ABS, informațiile confidențiale sunt stocate și prelucrate, care nu sunt destinate publicului larg. Fake sau scurgerile sale pot duce la consecințele grave (pentru bancă sau clienții săi). Prin urmare, ABS sunt condamnate să rămână relativ închise, să lucreze sub controlul software-ului specific și să acorde o mare atenție asigurării siguranței acestora.
• O altă caracteristică a ABS este cerințele sporite pentru fiabilitatea hardware-ului și a software-ului. Prin urmare, cele mai moderne ABS sunt construite utilizând o arhitectură de rețea de calculatoare tolerantă defectă, care permite prelucrarea continuă a informațiilor, chiar și în condiții de diferite defecțiuni și de eșecuri.

Puteți selecta două tipuri de sarcini rezolvate ABS:

1. Analitic. Acest tip include sarcinile de planificare, analiză a conturilor etc. Nu sunt operaționale și pot necesita rezolvarea unei lungi timp, iar rezultatele lor pot afecta politica băncii cu privire la un anumit client sau un proiect. Prin urmare, subsistemul, cu care sunt soluționate sarcini analitice, ar trebui să fie izolate în siguranță din sistemul principal de procesare a informațiilor și, în plus, datorită posibila valoare a rezultatelor, protecția acestora trebuie să fie permanentă.
2. Operațional. Acest tip include sarcinile rezolvate în activitatea de zi cu zi, în primul rând, plățile și ajustați conturile. Acestea determină mărimea și capacitatea sistemului principal al băncii; Pentru a le rezolva, este de obicei nevoie de mult mai multe resurse decât pentru sarcinile analitice. În același timp, valoarea informațiilor prelucrate la rezolvarea acestor sarcini este temporară. Treptat, valoarea informațiilor, cum ar fi executarea oricărei plăți, devine irelevantă. Firește, depinde de mulți factori, cumva: sumele și timpul de plată, numărul contului, caracteristicile suplimentare etc. Prin urmare, este de obicei suficient pentru a asigura protecția plății tocmai în momentul punerii sale în aplicare. În acest caz, protecția procesului de procesare și a rezultatelor finale ar trebui să fie permanentă.

7.3. Metode de protecție a informațiilor în sistemele automate de prelucrare a datelor

Sub protecția informațiilor în sistemele informatice (IP) înseamnă utilizarea periodică a fondurilor și a metodelor în ele, luarea de măsuri și măsuri de punere în aplicare pentru sprijinul sistemic pentru fiabilitatea necesară a informațiilor stocate și prelucrate. Fiabilitatea informațiilor - un indicator integrat care caracterizează calitatea informațiilor din punctul de vedere al integrității fizice (lipsa denaturării sau distrugerea elementelor de informații), încrederea în informație (încrederea în absența înlocuirii) și a securității - lipsa primirii sale neautorizate și copierea.

Componentele de securitate a informațiilor integrate:

• măsuri de securitate organizațională;
• măsuri de securitate: Protecția și protecția clădirilor, a spațiilor, computerele transportate pe documente etc.
• asigurarea siguranței hardware-ului: asigurarea funcționării fiabile a computerelor și a echipamentelor de rețea;
• asigurarea siguranței canalelor de comunicare: Protecția canalelor de comunicare de la influențele externe;
• furnizarea de software de securitate și suport matematic: protecție împotriva virușilor, hackerii, programe rău intenționate care transportă informații confidențiale.

Se știe că 80% din infracțiunile legate de furt, daune sau denaturare a informațiilor sunt comise cu participarea angajaților companiei. Prin urmare, cea mai importantă sarcină a conducerii, a personalului și a serviciilor de securitate este o selecție atentă a angajaților, distribuirea puterilor și construirea unui sistem de admitere la elemente de informație, precum și controlul disciplinei și comportamentului angajați, creând un bun climat moral în echipă.

Mijloace organizaționale Protecția informațiilor este activități organizaționale și tehnice speciale desfășurate în procesul de creare și exploatare a unui sistem care integrează protecția informațiilor.

Legislativinstrumentele de protecție a informațiilor sunt definite ca acte legislative care reglementează procedura de utilizare și prelucrare a informațiilor, restricțiile de acces și care stabilesc responsabilitatea și sancțiunile pentru încălcarea acestor reguli.

Mijloace tehnice sunt împărțite în fizic (încuietori, laturi, sisteme de semnalizare etc.) și hardware(Lacate, blocare, alarme și alte dispozitive utilizate direct pe mijloacele tehnologiei de calcul și mijloace de date). Software. Protecția informațiilor este instrumente speciale de protecție a informațiilor încorporate în software-ul sistemului și independent sau într-un complex cu alte mijloace pentru a proteja informațiile din sistem.

Software.instrumente de securitate a informațiilor:

1. Software. identificarea utilizatorului și determinarea puterilor lor.
2. Software. identificarea terminalelor.
3. Software. protecția fișierelor.
4. Software. protecția OS, Computer și programe de utilizator.
5. Programe auxiliare în diferite scopuri.

Produse criptografice Securitatea informațiilor - Metode de codificare speciale, criptare sau altă informație Conversia ca rezultat al conținutului de devine inaccesibil fără a prezenta informații speciale și transformări inverse. Utilizarea metodelor criptografice a devenit deosebit de relevantă în legătură cu transferul de volume mari de informații publice, militare, comerciale și private în rețeaua deschisă. Datorită costului ridicat al deteriorării cauzate de pierderea, dezvăluirea și denaturarea informațiilor stocate în baze de date și transmise în rețele locale, se recomandă stocarea și transmiterea informațiilor în formă criptată.

Sistem criptografic- Familie de algoritmi de conversie a textului deschis în Ciphertext.

Alfabet- Seturi finale utilizate pentru codarea informațiilor despre informații. Ca exemple de alfabete utilizate în sistemele informatice moderne, pot fi aduse următoarele:

• alphabet Z33 - 32 litere ale alfabetului și spațiului rus;
• alphabet Z256 - Simboluri incluse în codurile standard ASCII;
• alfabet binar - Z2 \u003d (0,1).

Criptarea implică transformarea textului sursă utilizând cheia textului criptat T. Cheie- Element de cifru înlocuibil, care este aplicat pentru criptarea unui mesaj specific. Când se utilizează criptarea, este utilizată conceptul de "cifru gamma" - aceasta este o secvență numerică pseudo-aleatorie generată de un algoritm dat, pentru a cripta date deschise și a decripta cipherogramele.

Prin natura utilizării cheii, criptosystemurile cunoscute pot fi împărțite în două tipuri: simetric (Solid, cu o cheie secretă) și asimetric(cheie deschisă).

În primul caz, aceeași cheie este utilizată în codificatorul expeditorului și decodorul destinatarului. Codificatorul formează o cipherogramă care este funcția textului deschis, vizualizarea specifică a funcției de criptare este determinată de cheia secretă. Decodorul destinatarului mesajului efectuează transformarea inversă în același mod. Cheia secretă este păstrată în secret și este transmisă de către expeditorul mesajului către destinatar pe un canal protejat, excluzând interceptarea cheii criponaliticii adversarului.

Criptarea se efectuează prin metode de substituție și permutare. Criptarea cea mai simplă, dar nu decompatibilă - cu înlocuirea simbolurilor de text la caractere sau numere aleatorii. În acest caz, lungimea cheii trebuie să se potrivească cu lungimea textului, care este inconvenabilă cu cantități mari de informații. Cheia este utilizată o dată, apoi este distrusă, astfel încât această metodă se numește "criptare cu un notepa de lacrimă".

În realitate, criptarea se face în cod binar folosind chei scurte - în standardul internațional DES (standard de criptare a datelor), care funcționează cu 64 de bytes 64 blocuri de date (1998), în GOST 28147 - 89 - 256 octeți, care asigură o criptosticitate semnificativ mai mare . Pe baza tastei scurte, computerul creează o gamă lungă de gamă, folosind unul din mai mulți algoritmi prezentați în standardele de criptare des sau GOST. Algoritmii de creare a unui gamma - Gamling se bazează pe o serie de înlocuiri și schimbări, este posibilă utilizarea unui ciphertext. Algoritmii de criptare nu sunt secreți, numai cheile sunt secrete. Pentru a distribui cheile cheie uz comun Se aplică următoarea tehnologie: tastele de prim rang sunt transmise prin curieri, sunt criptate și transmise în rețelele lor cele două taste de rang utilizat pentru a cripta documentele.

Cele mai moderne sisteme de criptare utilizează algoritmi asimetrici cu chei deschise și secrete, unde nu există nici o problemă de transport sigur al cheii. Astfel de sisteme includ algoritmul RSA numit de dezvoltatori (Rivest-Shamir-Adleman - dezvoltatorii acestui sistem Ronald Rivest, Adi Shamir și Leonard Admenoman, 1977), pe baza expansiunii unor numere mari pe multiplicatori.

ÎN criptosisteme asimetrice (Criptoziste cheie cheie) În algoritmii de criptare și decriptare, se utilizează diferite taste, fiecare dintre acestea nu poate fi obținută de la cealaltă cu costuri acceptabile de resurse temporare și alte resurse. O cheie este deschisă - folosit pentru a cripta informațiile, celălalt este secret - pentru decriptare, adică un mesaj poate doar unul la cine este destinat, de exemplu, șeful companiei care primește mesaje de la numeroși agenți.

Sisteme de semnătură electronicăbazat pe criptare asimetrică, dar cheia secretă este stocată la expeditorul mesajelor, iar cheia deschisă creată pe baza secretului transformării matematice, mulți au. Cheia publică poate fi transferată cu mesajul. Dar, în acest caz, mesajul nu este criptat și funcția sa de hash obținută din mesaj prin transformarea acestuia într-un anumit algoritm și ocupând doar câțiva octeți. Schimbarea cel puțin un bit în textul mesajului duce la o schimbare semnificativă a funcției hash. Destinatarul mesajului poate descifra funcția hash criptată transmisă cu mesajul, creează o funcție hash a mesajului primit utilizând un algoritm bine cunoscut și să compare funcția Hash decriptat și recreat. Coincidența lor garantează integritatea documentului primit, adică absența distoriei în ea. Destinatarul nu poate modifica documentul primit, deoarece nu poate cripta o nouă funcție hash. Prin urmare, semnătura electronică are aceeași forță juridică ca și semnătura obișnuită și imprimarea pe hârtie. Cheile secrete și deschise, programele și echipamentele pentru sistemele electronice de semnătură furnizează licențiate FSB de firme, care, dacă este necesar, pot trimite o copie a cheilor Curții.

Există două metode principale de protecție: Software și hardware. O metodă de protecție a software-ului este bună în faptul că, cu costuri relativ scăzute, puteți obține un program care asigură fiabilitatea necesară a stocării informațiilor. Dar instrumentele software au mai multe dezavantaje semnificative, care ar trebui să fie cunoscute la alegerea acestei căi:

• de obicei lucrează hardware mai lent;
• orice program poate fi deschis, este doar o chestiune de timp și calificări ale unui specialist;
• când mass-media este deturnată, programul este răpit.

Hardware au, de asemenea, o serie de deficiențe: dezvoltarea lor este mai scumpă, se adaugă costurile de producție și întreținere, sistemul hardware este mai complex și, de asemenea, necesită software-ul în plus față de hardware.

Dar avantajele utilizării hardware sunt evidente:

• munca rapidă fără resurse de sistem;
• este imposibil să penetreze programul hardware fără delapidarea sa;
• fără hardware, este imposibil să decriptați datele protejate.

7.4. Acte legislative în domeniul protecției informațiilor

Rusia ia măsuri pentru a contracara armele de informare și criminalitatea informatică. În Duma de Stat a Federației Ruse există un grup adjunct "Rusia electronică", mesele rotunde pentru securitatea informațiilor sunt deținute pentru a dezvolta legi relevante. Legea Federației Ruse "privind securitatea", Legea "privind semnătura electronică" și "privind informațiile, informația și protecția informațiilor", care determină faptul că informațiile sunt supuse protecției, precum și bunului materic al proprietarului. Furnizarea de transmitere sigură a informațiilor guvernamentale a fost angajată anterior în FAPSI, acum FSB și FSO, protecția informațiilor comerciale - firmele care au o licență FSB. A fost elaborat un document de ghidare al Comisiei de stat a Federației Ruse ". Protecția împotriva accesului neautorizat la informații. Clasificarea sistemelor și cerințelor automatizate pentru protecția informațiilor »și standardele guvernamentale relevante:

GOST 28147-89. Sisteme de procesare a informațiilor. Protecție criptografică. Algoritmul de transformare criptografică;

GOST R 34. 10-94. Tehnologia de informație. Protecția informațiilor criptografice. Proceduri de dezvoltare și verificare a unei semnături digitale electronice bazate pe un algoritm criptografic asimetric;

GOST R 34. 11-94. Tehnologia de informație. Protecția informațiilor criptografice. Funcția Hashing;

GOST R 50739-95. Echipamente de calculator. Protecția împotriva accesului neautorizat la informații. Cerințe tehnice generale.

Din 2004, a existat un nou standard național de securitate GOST / ISO ICEC 15408 - 2002. Criterii generale pentru evaluarea siguranței tehnologiei informației.

Anul nașterii standardului poate fi luat în considerare în anii 1990 - atunci a început să creeze un standard pentru evaluarea siguranței tehnologiilor informaționale (IT) sub auspiciile Organizației Internaționale pentru Standardizare (ISO). Acest document a fost tradus și luat ca bază pentru dezvoltarea GOST / ISO IEC 15408 - 2002. Numele standardului sa dezvoltat istoric. Lucrați pe ea a fost efectuată cu ajutorul organizațiile de stat Potrivit standardizării Statelor Unite, Canada, Marea Britanie, Franța, Germania și Olanda și a urmărit următoarele obiective conceptuale:

• unificarea diferitelor standarde naționale în evaluarea securității IT;
• Îmbunătățirea nivelului de încredere în evaluarea securității IT;
• reducerea costurilor de evaluare a securității IT bazate pe recunoașterea reciprocă a certificatelor.

Standardul rusesc este o traducere exactă standard international. El a fost adoptat prin soluționarea standardului de stat al Rusiei din 04.04.2002 nr. 133-spațiu cu data punerii în aplicare la 1 ianuarie 2004. Apariția acestui GOST reflectă nu numai procesul de îmbunătățire a standardelor rusești utilizând experiența internațională, Dar, de asemenea, parte a programului guvernamental privind aderarea Rusiei la OMC (așa cum este bine cunoscut, atunci când se alătură acestei organizații, solicitantul trebuie să fie îndatoriri unificate, impozite, standarde de producție, standarde de calitate și unele standarde în domeniul securității informațiilor).

În cadrul noului standard, sunt introduse conceptele de "amenințare" și "profil".

Profilul de protecție - "Independent de punerea în aplicare a cerințelor de siguranță pentru o anumită categorie de produse sau sisteme informatice care îndeplinește cereri specifice de consum."

Toate mecanismele de securitate descrise în profil sunt numite caracteristici de securitate a obiectului (FBO). Profilul de protecție include numai aceste caracteristici de securitate care trebuie protejate de amenințări și respectă politicile de securitate.

Ipotezele de securitate reprezintă o descriere a condițiilor specifice în care sistemul va fi operat. Politica de securitate - "una sau mai multe reguli, proceduri, tehnici practice sau orientări în domeniul securității ghidate de organizație în activitățile lor". În general, un astfel de set de reguli este un fel de funcționalitate a unui produs software care este necesar pentru utilizarea sa într-o anumită organizație.

Unul dintre cele mai echilibrate și viabile documente este un standard intra-industrial al Băncii Rusiei pe IB. A lui ultima ediție (2006) indică intenția explicită a băncii centrale de a modifica recomandarea documentului pentru statutul obligatoriu.

7.5. Standard pentru protecția informațiilor în domeniul cardurilor bancare

Standardul de securitate al datelor privind cartelele de plată (PCI DSS) este un standard pentru protecția informațiilor din industria cărților de plată dezvoltate de sistemele internaționale de plată Visa și MasterCard.

Decizia de a crea acest standard unificat a fost adoptată de sistemele internaționale de plată datorită numărului tot mai mare de companii care au raportat că informațiile confidențiale privind conturile clienților lor au fost pierdute sau furate.

Obiective standard:

• creșterea securității sistemelor electronice de tranzacționare și de plată;
• asigurarea unui mediu sigur pentru stocarea datelor deținătorilor de carduri;
• reducerea inconsecvenței cerințelor de siguranță în industria cărților de plată;
• modernizarea și raționalizarea proceselor de afaceri și a costurilor reduse.

Cerințele standardului PCI DSS sunt distribuite tuturor societăților care lucrează cu sistemele de plată Visa și Mastercard Internaționale. În funcție de numărul de tranzacții ale fiecărei companii, fiecare companie i se atribuie un anumit nivel cu un set adecvat de cerințe pe care trebuie să le îndeplinească. Ca parte a cerințelor standardului, auditurile anuale ale companiilor, precum și scanările de rețea trimestriale sunt avute în vedere.

Începând cu septembrie 2006, Standardul Standard al Securității Datelor PCI a fost introdus de sistemul internațional de plată a vizelor din regiunea CEMEA ca obligatorie, respectiv, acțiunea sa se aplică Rusiei. Prin urmare, furnizorii de servicii (centre de procesare, gateway-uri de plată, furnizori de internet) care operează direct din Visanet trebuie să transmită procedura de audit pentru respectarea cerințelor standardului. În caz contrar, Visa va aplica anumite sancțiuni companiilor.

Întrebări pentru auto-test

1. Care este diferența principală dintre protecția sistemelor informatice bancare din protecția sistemelor informatice industriale?
2. Ce activități pot fi atribuite măsurilor de protecție organizațională?
3. Care este principiul "ușilor închise" în bănci și de ce nu poate fi aplicat în mod eficient în acest moment?
4. Ce mijloace de protecție pot fi atribuite fizicului?
5. Ce sisteme, analitice sau operaționale necesită metode mai detaliate de protecție și de ce?
6. Care sunt metodele de transformare a textului criptografic?
7. Care este cheia?
8. Dați definiția "gammerii". De ce este necesar?
9. Ce codifică cu "Notebook de rupere" și de ce nu este aplicabil acum?
10. Care este lungimea cheii atunci când codificați folosind standardul DES?
11. Lungimea cheii diferă de standardele rusești din partea internațională? Ce este ea?
Numele atelierului adnotare

Prezentări

Nume de prezentare.	adnotare