บทความนี้อุทิศให้กับการให้ความปลอดภัยของข้อมูลในสถาบันการธนาคารบนพื้นฐานของข้อกำหนดด้านกฎระเบียบในประเทศของมาตรฐานภาคของธนาคารของรัสเซีย Str BR IBBS-1.0-2014 บางแง่มุมของการป้องกันในระบบธนาคารอัตโนมัติ (ABS) ได้รับการพิจารณาการคุ้มครองข้อมูลส่วนบุคคลในภาคการธนาคารการตรวจสอบภายในและการประเมินตนเองสำหรับการปฏิบัติตามข้อกำหนดของ IB เช่นเดียวกับคุณสมบัติบางอย่างและสถานที่ที่มีปัญหาบางอย่างที่เกี่ยวข้องกับข้อมูล ความปลอดภัยในธนาคาร
บทนำ
มันไม่มีความลับที่ธนาคารเป็นรากฐานที่สำคัญของสินเชื่อและระบบการเงินของประเทศและสถาบันการเงินที่สำคัญที่สุดของสังคมสมัยใหม่ ในเรื่องนี้พวกเขาจะถูกกำหนดในข้อกำหนดพิเศษสำหรับความปลอดภัยของข้อมูล จนกระทั่งการเกิดขึ้นของมาตรฐานความปลอดภัยข้อมูลภายในในประเทศ STR BRBS ธนาคารจัดการความปลอดภัยตามบทบัญญัติของภายใน เอกสารกำกับดูแล. แต่หลังจากการยอมรับของเอกสารเหล่านี้มีปัญหามากมายที่ต้องมีการตัดสินใจของพวกเขา คำถามบางข้อที่พิจารณาในบทความเกี่ยวข้องกับความละเอียดของ "คอขวด" ของระบบธนาคาร IB และการปรับนโยบายความปลอดภัยสำหรับข้อกำหนดใหม่โดยคำนึงถึง "สัมภาระ" ที่มีอยู่แล้วในสาขาการป้องกันข้อมูล
การก่อตัวของมาตรฐาน IB Bank Russia
ในรัสเซียจนถึงกลางปี \u200b\u200b2000 คำ "ความปลอดภัย"ส่วนใหญ่เกี่ยวข้องกับการควบคุม "ความเสี่ยงของธนาคาร" . การควบคุมสถานการณ์ที่อาจนำไปสู่การสูญเสียของสถาบันเครดิตและ \\ หรือเสื่อมสภาพของสภาพคล่องเนื่องจากการโจมตีของเหตุการณ์ไม่พึงประสงค์ ประเภทดังกล่าวเป็น "ความปลอดภัยของข้อมูล" หรือ "การป้องกันข้อมูล" มันไม่มีอยู่ในหลักการ มีเพียงกฎหมายของรัฐบาลกลาง "ในกิจกรรมการธนาคาร" จาก 02.12.1990 N 395-1 FZ ในมาตรา 26 ความลับของธนาคารให้สิทธิ์ จำกัด และความสามารถในการปกป้องข้อมูลที่เป็นความลับในภาคการธนาคาร มากกว่าหนึ่งทศวรรษผู้แทนที่ประเทศออกกฎหมายของรัฐบาลกลาง "ในความลับเชิงพาณิชย์" เมื่อวันที่ 29 กรกฎาคม 2547 N 98-зซึ่งในที่สุดเพื่อประกาศรูปแบบใหม่ของกิจกรรมและหมวดหมู่ที่แยกต่างหากเช่น "ความปลอดภัยของข้อมูล ธนาคาร "
ในปีเดียวกันแนวโน้มได้เกิดขึ้นในชุมชนธนาคารในประเทศที่จะนำมาตรฐานธนาคารระหว่างประเทศโดยเฉพาะอย่างยิ่ง Basel II Standard ในการตีความของเขามาตรฐานการตรวจสอบมาตรฐานนี้เป็นความเสี่ยงในการดำเนินงานและโดยทั่วไปแล้วมาตรการดังกล่าวเรียกร้องให้ตรวจสอบและควบคุมข้อมูลทรงกลมซึ่งเป็นนวัตกรรมที่แน่นอนสำหรับธนาคารรัสเซียในเวลานั้น อย่างไรก็ตามสิ่งนี้ไม่เพียงพอ - การพัฒนาเทคโนโลยีสารสนเทศสมัยใหม่และความปรารถนาอย่างต่อเนื่องของข้อเสนอของผลิตภัณฑ์ธนาคารใหม่สู่ตลาดจำเป็นต้องให้ความสำคัญกับปัญหาเหล่านี้มากขึ้น
การพัฒนาวิวัฒนาการต่อไปของการพัฒนาคือ 2004 ด้วยการเปิดตัวของแพคเกจฉบับแรกของมาตรฐานภายในประเทศสำหรับความปลอดภัยของข้อมูลของ Str Bra IBS มาตรฐานความปลอดภัยด้านไอทีถือเป็นมาตรฐานที่ดีที่สุดในเวลานั้นเพราะเขาจินตนาการถึงประสบการณ์และการปฏิบัติในโลกที่ดีที่สุดรวมบทบัญญัติพื้นฐานของมาตรฐานการจัดการความปลอดภัยด้านไอที (ISO 17799, 13335) ควบคุมคำอธิบายของวงจรชีวิตของซอฟต์แวร์และ เกณฑ์สำหรับการประเมินความปลอดภัยด้านไอที (GOST R ISO / IEC 15408-1-2-3) นอกจากนี้เอกสารนี้สะท้อนให้เห็นถึงเทคโนโลยีสำหรับการประเมินการคุกคามและช่องโหว่บางส่วนของบทบัญญัติของวิธีการของอังกฤษในการประเมินความเสี่ยงต่อข้อมูล CRAMM (ดูรูปที่ 1)
รูปที่ 1 ความสัมพันธ์ของความต้องการและมาตรฐานต่าง ๆ ในด้านไอทีความปลอดภัยและการจัดการ
ในบรรดาบทบัญญัติหลักของมาตรฐานธนาคารกลางมันเป็นไปได้ที่จะสังเกตเห็นการปฐมนิเทศในการแก้ปัญหาของคนวงใน สำหรับเรื่องนี้ธนาคารแห่งรัสเซียสร้างการควบคุมการอุทธรณ์ของข้อมูลที่เป็นความลับภายในสภาพแวดล้อมขององค์กร ความสนใจอย่างมากจะจ่ายให้กับภัยคุกคามภายนอก: บทบัญญัติของมาตรฐานที่ต้องการจากธนาคารที่จะมีการป้องกันไวรัสด้วยฐานที่ได้รับการอัพเดทเป็นประจำเครื่องมือกรองสแปมการควบคุมการเข้าถึงควบคุมขั้นตอนการตรวจสอบภายในใช้การเข้ารหัสเพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต ฯลฯ
แม้จะมีข้อได้เปรียบที่ชัดเจนทั้งหมด แต่มาตรฐานก็เป็นธรรมชาติที่แนะนำ - ตำแหน่งของธนาคารในประเทศสามารถนำไปใช้ได้กับพื้นฐานโดยสมัครใจเท่านั้น อย่างไรก็ตามตามผลการศึกษาของผู้ตอบแบบสอบถามที่นำเสนอใน III ของการประชุมระหว่างธนาคารมีแนวโน้มที่ชัดเจนต่อการยอมรับเอกสารเหล่านี้เป็นพื้นฐานพื้นฐานสำหรับธนาคารรัสเซีย
ควบคู่ไปกับการพัฒนามาตรฐานธนาคารในช่วงกลางปี \u200b\u200b2000 กระบวนการของการก่อตั้งกฎหมายภายในประเทศในด้านความปลอดภัยของข้อมูลรวมอยู่ในรัสเซีย ช่วงเวลาสำคัญ การปรับปรุงของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลเทคโนโลยีสารสนเทศและการปกป้องข้อมูล" ของ 27 กรกฎาคม 2549 N 149-FZ ซึ่งให้คำจำกัดความข้อมูลใหม่ของข้อมูลเทคโนโลยีสารสนเทศและกระบวนการแยกต่างหาก "การป้องกันข้อมูล" แยกต่างหาก ติดตามเขา แยกหมวดหมู่ ในการปฏิบัติของการป้องกันข้อมูลฉันทำเครื่องหมายทางออกจากกฎหมาย "ในข้อมูลส่วนบุคคล" ของ 27 กรกฎาคม 2549 N 152-FZ
จากนวัตกรรมเหล่านี้ทั้งหมดและการเปลี่ยนความเป็นจริงของสังคมรุ่นใหม่ของ Str Br BRE EBBS ได้รับการเผยแพร่ ดังนั้นในรุ่นที่สามของมาตรฐานปี 2008 แพคเกจของเอกสารได้รับการทำใหม่อย่างมีนัยสำคัญข้อกำหนดและแนวคิดใหม่ ๆ ได้รับการบอกถึงข้อกำหนดด้านความปลอดภัยบางอย่างได้รับการกลั่นและละเอียด ความต้องการที่อัปเดตสำหรับระบบการจัดการความปลอดภัยของข้อมูล นอกจากนี้มาตรฐานที่ได้รับรูปแบบการคุกคามและผู้ฝ่าฝืนความปลอดภัยของข้อมูลขององค์กร BS ของ RF บล็อกใหม่ได้รับการแนะนำตามความต้องการของ IB ในระบบธนาคารอัตโนมัติกระบวนการชำระเงินของธนาคารและกระบวนการเทคโนโลยีสารสนเทศถูกควบคุมแยกต่างหากที่กล่าวกันเกี่ยวกับการใช้เงินของการป้องกันข้อมูลการเข้ารหัสลับ
เมื่อเทียบกับพื้นหลังของเหตุการณ์โลกสุดท้ายของปี 2014 และการคว่ำบาตรทางเศรษฐกิจที่กำหนดโดยประเทศตะวันตกที่เกี่ยวข้องกับรัสเซียมีแนวโน้มที่ชัดเจนต่อการพัฒนาและการเปลี่ยนไปสู่ระบบบัตรชำระเงินแห่งชาติ ดังนั้นนี้ตามข้อกำหนดเพิ่มเติมสำหรับความน่าเชื่อถือและความปลอดภัยของระบบดังกล่าวซึ่งมีและเพิ่มความสำคัญของมาตรฐาน IB ในประเทศ
ผลลัพธ์ของเหตุการณ์เหล่านี้คือการออกมาตรฐานต่อไปของมาตรฐาน และในเดือนมิถุนายน 2014 ที่ห้าที่อัปเดตมีผลบังคับใช้และในขณะที่สุดท้ายจนถึงปัจจุบันสำนักงานบรรณาธิการของ Str Br IBBS - 2014 ฉบับใหม่แก้ไขข้อบกพร่องของปัญหาที่ผ่านมาและซึ่งเป็นสิ่งสำคัญมากความต้องการและคำแนะนำของ str lead สอดคล้องกับคำอธิบายข้างต้น 382-p ตัวอย่างเช่นรายการที่ต้องการการลงทะเบียนของการดำเนินงานใน DBO ได้รับการชี้แจงรายการข้อมูลที่ได้รับการป้องกันได้รับการขยายขึ้นอยู่กับ P-382 ตารางการปฏิบัติตามตัวบ่งชี้การประเมินค่าส่วนตัวจากหนึ่งร้อยและตัวบ่งชี้จากปัจจุบัน รุ่นของ 382-p
ความสำเร็จที่สำคัญไม่น้อยคือฐานที่เกิดขึ้นจริงของข้อกำหนดด้านกฎระเบียบโดยคำนึงถึงการเปลี่ยนแปลงล่าสุดในการออกกฎหมายในด้านการปกป้องข้อมูลส่วนบุคคลคือเพิ่มการอ้างอิงต่อพระราชกฤษฎีกาของรัฐบาลหมายเลข 1119 และคำสั่งของ FSTEC ของรัสเซียเลขที่ 21.
ทั้งหมดนี้ได้สร้างวิธีการตามวิธีการและกฎระเบียบแบบครบวงจรเพื่อให้มั่นใจในความปลอดภัยของข้อมูลที่ครอบคลุมโดยคำนึงถึงการบัญชีธนาคาร แพ็คของเอกสาร Str Br IBBS ธนาคารรัสเซีย การสร้างระบบรักษาความปลอดภัยจากมุมมองของพวกเขา แต่ในขณะเดียวกันก็ดูดซับการปฏิบัติและประสบการณ์ระดับโลกที่ดีที่สุดของเพื่อนร่วมงานต่างประเทศเพื่อความปลอดภัยของข้อมูล
ความปลอดภัยของข้อมูลในธนาคารโดยคำนึงถึง Str Br IBBS-2014
ปัจจุบันธนาคารของแพคเกจคำสั่งซื้อของรัสเซียของเอกสารของ Str Brbs ประกอบด้วยส่วนต่อไปนี้:
- str br ibbs-1.2-2014 "วิธีการประเมินความเป็นไปตามความปลอดภัยของข้อมูลขององค์กรของระบบธนาคารของสหพันธรัฐรัสเซียที่มีข้อกำหนดของ Str BBBS-1.0-2014 (4 รุ่น)";
นอกจากนี้ธนาคารแห่งรัสเซียพัฒนาและแนะนำคำแนะนำต่อไปนี้ในด้านมาตรฐาน IB:
- Rs BR IBBS-2.0-2007 "คำแนะนำที่มีระเบียบสำหรับเอกสารความปลอดภัยของข้อมูลสอดคล้องกับข้อกำหนดของ Str Bra IBBS-1.0";
- Rs BR IBBS-2.1-2007 "แนวทางการประเมินตนเองการปฏิบัติตามความปลอดภัยของข้อมูลขององค์กรของระบบธนาคารของสหพันธรัฐรัสเซียด้วยข้อกำหนดของ Str Br IBBS-1 0 ";
- Rs BR IBBS-2.2-2009 "วิธีการในการประเมินความเสี่ยงของความปลอดภัยที่ให้ข้อมูล";
- Rs BR IBBS-2.5-2014 "การจัดการเหตุการณ์ความปลอดภัยของข้อมูล"
เอกสารสามฉบับแรกมีผลบังคับใช้สำหรับทุกธนาคารที่ใช้มาตรฐานที่ระบุเป็นนโยบายพื้นฐานของพวกเขา เอกสาร "ทั่วไป" เป็นพื้นฐานสำหรับการก่อตัวของกิจกรรมทั้งหมดเพื่อปกป้องข้อมูล โครงสร้างทั้งหมดถูกแบ่งออกเป็นบล็อกแยกต่างหาก พวกเขาอธิบายรายละเอียดความต้องการด้านความปลอดภัยจะได้รับรายการการป้องกันที่เฉพาะเจาะจงโดยบล็อกเฉพาะ (ดูตารางที่ 1)
ตารางที่ 1. ข้อกำหนดด้านความปลอดภัยของข้อมูล
- เมื่อกำหนดและแจกจ่ายบทบาทและสร้างความมั่นใจในบุคลากร |
- ในระบบธนาคารอัตโนมัติ (ABS) ที่ขั้นตอนของวงจรชีวิต |
- เมื่อจัดการการเข้าถึงและการลงทะเบียนผู้ใช้ |
- วิธีการป้องกันไวรัส |
- เมื่อใช้ทรัพยากรอินเทอร์เน็ต |
- เมื่อใช้วิธีการป้องกันการเข้ารหัสข้อมูล |
- ในกระบวนการเทคโนโลยีการชำระเงินของธนาคาร |
- ในการจัดการข้อมูลส่วนบุคคล |
- ส่วนหัวของโรงแรมได้รับการออกข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูล |
เอกสาร "การตรวจสอบความปลอดภัยของข้อมูล" ขนาดเล็กที่สุดของทั้งหมดบ่งบอกถึงความจำเป็นในการตรวจสอบระบบ IB และยังให้การอ้างอิงถึงการประเมินตนเองประจำปีตามข้อกำหนดของมาตรฐาน ข้อมูลการประเมินตนเองขั้นสุดท้ายทำหน้าที่เป็นพื้นฐานสำหรับแบบรายงานในกรณีของการทดสอบโดยธนาคารกลางและบทสรุปของการปฏิบัติตามระดับความปลอดภัยของระบบความปลอดภัยของข้อมูลของธนาคารโดยความเสี่ยงและภัยคุกคามที่เปิดเผยของ IB
และเอกสารสุดท้ายภายใต้การพิจารณา "วิธีการประเมินการปฏิบัติตามข้อกำหนดของ IB" - นี่คือชุดของวิธีการประเมินและตารางที่มีฟิลด์ที่สอดคล้องกันสำหรับการกรอก แต่ละเหตุการณ์และการวัดการป้องกันให้ค่าน้ำหนักบางอย่างในการประเมินตัวบ่งชี้กลุ่ม ตามผลของตัวบ่งชี้กลุ่มแผนภาพวงกลมของการปฏิบัติตามข้อกำหนดของ Str Bra Ibbs ถูกวาด (ดูรูปที่ 2) ค่าทั้งหมดของตัวบ่งชี้กลุ่มอยู่ในช่วงจาก 0 ก่อน 1 ซึ่งการปฏิบัติตามมาตรฐาน 6 ระดับที่เริ่มต้นด้วยศูนย์จะถูกจัดสรรเพื่อกำหนดผลลัพธ์ ธนาคารแห่งรัสเซียแนะนำระดับ 4 และ 5 (ดูรูปที่ 2) ดังนั้นยิ่งมีมูลค่าที่สูงขึ้นเท่านั้นที่คาดว่าระบบป้องกันมากขึ้น บนแผนภาพวงกลมภาคเหล่านี้มีตัวบ่งชี้ระดับสีเขียวสีแดง - สีแดง
รูปที่ 2 ข้อกำหนดแผนภูมิการปฏิบัติตามวงกลมของ Str Br IBBS
คุณสามารถเพิ่มอะไรได้อีก - ให้ความสนใจค่อนข้างมากสำหรับกระบวนการจัดการความปลอดภัยของข้อมูลโดยเฉพาะคุณสามารถจัดสรรได้ วงจร demingใช้โดยผู้จัดการชั้นนำในการจัดการคุณภาพ (รูปที่ 3)
รูปที่ 3 รอบ Deming สำหรับ Soci BR St. IBBS
ในฉบับใหม่ธนาคารแห่งรัสเซียอัพเดทวิธีการในการประเมินการปฏิบัติตามความปลอดภัยของข้อมูล การเปลี่ยนแปลงหลักส่งผลต่อแนวทางการประเมิน:
- ข้อกำหนดทั้งหมดนี้มีสาเหตุมาจากหนึ่งในสามชั้นเรียน ( การจัดทำเอกสาร, ประสิทธิภาพ , เอกสารและการดำเนินการ);
- การประเมินตัวบ่งชี้กลุ่มหมายถึงค่าเฉลี่ยทางคณิตศาสตร์ (ไม่มีค่าสัมประสิทธิ์การถ่วงน้ำหนักของตัวชี้วัดส่วนตัว);
- แนวคิดของค่าสัมประสิทธิ์การแก้ไขที่มีผลต่อการประมาณการในทิศทางและขึ้นอยู่กับจำนวนความต้องการที่ใช้งานได้อย่างสมบูรณ์ของมาตรฐาน
- ค่าของตัวบ่งชี้ M9 (ข้อกำหนดทั่วไปสำหรับการประมวลผลข้อมูลส่วนบุคคล) คำนวณโดยโครงการทั่วไป (และไม่เป็นขั้นต่ำของค่าของตัวบ่งชี้ส่วนตัวที่เข้ามาในรุ่นก่อนหน้าของมาตรฐาน)
เป็นที่น่าสนใจที่จะสังเกตเห็นว่ามันกลายเป็นอีกต่อไปที่จะให้ความสนใจกับเอกสารของขั้นตอนการรักษาความปลอดภัยในเอกสารกำกับดูแลภายในของธนาคาร ดังนั้นแม้ว่าขั้นตอนนี้จะไม่ถูกดำเนินการจริง แต่มีให้และจัดทำเป็นเอกสารมันจะเพิ่มผลการตรวจสอบภายใน
เมื่อเทียบกับการแก้ไขครั้งสุดท้ายจำนวนตัวบ่งชี้ส่วนตัวเพิ่มขึ้นเช่นเดียวกับค่าน้ำหนักของประมาณการมีการเปลี่ยนแปลง (ดูรูปที่ 4)
รูปที่ 4 การเปลี่ยนแปลงในอดีตและปัจจุบันของ Str BR IBBS (ตามการจัดการ InfoContal, www. km-ltd.com, 2014)
มันควรจะกล่าวเกี่ยวกับอีกหนึ่งที่สำคัญเพิ่มเติมเกี่ยวกับกลไกการป้องกัน ABS ในตัว - ธนาคารแห่งรัสเซียออกคำแนะนำของ "การรับรองความปลอดภัยของข้อมูลในขั้นตอนของวงจรชีวิตของระบบธนาคารอัตโนมัติ" (RS BR IBBS-2.6-2014 ). " สาระสำคัญของพวกเขาอยู่ในความจริงที่ว่าตอนนี้ธนาคารสามารถอ้างถึงเอกสารนี้กำหนดข้อกำหนดให้กับนักพัฒนาซอฟต์แวร์ในแง่ของกลไกการป้องกัน เราต้องไม่ลืมว่าสิ่งเหล่านี้เป็นคำแนะนำและไม่ใช่ข้อกำหนดและธนาคารของรัสเซียเองไม่สามารถกำหนดอะไรได้ แต่จะช่วยให้คุณออกอากาศคำแนะนำเหล่านี้ในนามของชุมชนธนาคารและนี่เป็นการเปลี่ยนแปลงที่ดีขึ้นแล้ว
การป้องกันข้อมูลส่วนบุคคลในธนาคาร
ก่อนที่การเปิดตัวของรุ่นที่ 5 ของ Str BR IBBS-2014 การป้องกันข้อมูลส่วนบุคคลในธนาคารจึงขึ้นอยู่กับเอกสารสองฉบับ: BR IBBS-2.3-2010 "ความต้องการความปลอดภัยข้อมูลส่วนบุคคลใน ระบบข้อมูล ข้อมูลส่วนบุคคลขององค์กรของระบบธนาคารของสหพันธรัฐรัสเซีย "และ Rs BR IBBS-2.4-2010 "รูปแบบส่วนตัวของการคุกคามต่อความปลอดภัยของข้อมูลส่วนบุคคลเมื่อดำเนินการในระบบข้อมูลของข้อมูลส่วนบุคคลขององค์กรของระบบธนาคารของสหพันธรัฐรัสเซีย"
ในทางปฏิบัติมันดูเหมือนว่า: พวกเขาใช้รูปแบบอุตสาหกรรมส่วนตัวของภัยคุกคามที่เสนอโดยธนาคารกลางตามคำแนะนำวิธีการพวกเขากำหนดข้อกำหนดสำหรับการป้องกันของแต่ละ CDN ตามและหมายเลขและรายการของข้อมูลที่ประมวลผล และต่อมาสร้างรายการของเหตุการณ์ที่จำเป็นให้กับพวกเขา
อาการปวดหัวหลักของผู้เชี่ยวชาญในวันนี้คือข้อกำหนดในปัจจุบันกำลังดำเนินการจนถึงรุ่นต่อไปของ Str Br IBBS - 2014 แม้ว่าในเวลานั้นการป้องกันของ PDN ได้ถูกสร้างขึ้นตามวรรค 1119 และคำสั่งของ FSTEC หมายเลข 21 . ในมุมมองของความจริงที่ว่าธนาคารจะต้องปฏิบัติตามแพ็คเกจของ Str BR IBBS ที่ยอมรับแล้วหลายคนใช้เทคนิคที่ไม่เกี่ยวข้องและเป็นผลให้เกิดความเป็นจริงของความปลอดภัยใหม่
ด้วยการเปิดตัวของเอกสารกำกับดูแลทั้งสองนี้สถานการณ์มีการเปลี่ยนแปลงสำหรับสิ่งที่ดีกว่า - ข้อกำหนดการออกใบอนุญาตที่เข้มงวดบางอย่างถูกยกเลิกขั้นตอนการจำแนกประเภทของซีดีผู้ประกอบการ OPN จะได้รับสิทธิ์มากขึ้นในการเลือกมาตรการป้องกัน การคำนวณการคำนวณการคำนวณตารางการคำนวณ "ระดับการป้องกัน" และขั้นตอนความปลอดภัยที่นำไปใช้กับพวกเขารายละเอียดที่นำเสนอโดยคำสั่งของ FSTEC หมายเลข 21 สิ่งนี้ได้รับอนุญาตให้ระดับความแตกต่างในวิธีการป้องกันของ PDNs ในมาตรฐานภาค ธนาคารกลางและกฎหมายรัสเซียทั่วไป
มาตรฐานที่อัปเดตมีคำว่า "ทรัพยากร PDN" ใหม่ซึ่งข้อกำหนดสำหรับเอกสารของแต่ละขั้นตอนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล (ส่วน 7.10) เกิดขึ้น แยกต่างหากปัญหาที่เกี่ยวข้องกับการทำลายข้อมูลส่วนบุคคลได้รับการพิจารณา: องค์กรได้รับโอกาสในการทำลาย PDNs ไม่ได้ทันที แต่ในช่วงเวลาหนึ่ง แต่อย่างน้อยหกเดือนทุก ๆ หกเดือน
Roskomnadzor มีการอธิบายแยกต่างหากสำหรับ PDN ไบโอเมตริกซ์เช่นรูปถ่ายของพนักงานหากใช้ในการดำเนินการในโหมดการเช็คอินหรือแสดงบนเว็บไซต์ของ บริษัท เป็นแนวทางที่เปิดเผยต่อสาธารณชนไม่ได้อยู่ภายใต้ข้อกำหนดการคุ้มครองพิเศษ
ไปยังธนาคารที่ปฏิบัติตามข้อกำหนดสำหรับการคุ้มครอง PD ในมาตรฐานเก่าเพื่อตอบสนองความต้องการใหม่ ๆ คุณต้องปรับเอกสารการกำกับดูแลภายในของคุณเพื่อจัดประเภทและเปลี่ยนเส้นทางใหม่และตามระดับความปลอดภัย กำหนดรายการใหม่ของเหตุการณ์การป้องกันตัวเอง ฉันต้องการทราบว่าตอนนี้ธนาคารมีอิสระมากขึ้นในการเลือกเงินทุนและวิธีการป้องกันอย่างไรก็ตามการประยุกต์ใช้เครื่องมือความปลอดภัยของข้อมูลยังคงมีสารพัน
ความปลอดภัยของข้อมูลของระบบการชำระเงินแห่งชาติ
ระบบการชำระเงินแห่งชาติ (NPS) ในมุมมองของเหตุการณ์ล่าสุดกำลังกลายเป็นทิศทางที่สำคัญมากขึ้นในนโยบายภายในประเทศของรัฐ ประธานาธิบดีรัสเซียวลาดิมีร์ปูตินได้ลงนามในกฎหมายว่าด้วยการจัดตั้งบัตรชำระเงินแห่งชาติ (NSPK) ในรัสเซียและสร้างความมั่นใจในการทำงานอย่างต่อเนื่องของระบบการชำระเงินระหว่างประเทศ ผู้ประกอบการ NPC ถูกสร้างขึ้นในรูปแบบของ JSC 100% ของสินทรัพย์ที่เป็นของธนาคารแห่งรัสเซีย วัตถุประสงค์ของโครงการเป็นโครงสร้างพื้นฐานและข้อมูลเกี่ยวกับการดำเนินการตามการใช้งาน โอนเงิน ในรัสเซียรวมดินแดนในศูนย์ปฏิบัติการประเทศและศูนย์ล้างการชำระเงิน
ในความเป็นจริงก่อนที่การเปิดตัวของกฎหมายเงินอาจปรากฏจาก "ไม่มีที่ไหนเลย" และหายไปใน "ไม่มีที่ไหนเลย" ด้วยการส่งออกของกฎหมายการเปลี่ยนแปลงสถานการณ์ NPC ทำให้สามารถติดตามได้ทั้งหมด การดำเนินงานทางการเงินรวมถึงการจัดหาเงินทุนของการทำธุรกรรมที่น่าสงสัยและการดำเนินงานที่เป็นการฉ้อโกงที่สามารถคุกคามความมั่นคงของประชาชนหรือประเทศโดยรวม นอกจากนี้การออกเดินทางจากรัฐบาลตามที่รัฐบาลเป็นอีกก้าวหนึ่งในการต่อสู้กับการติดสินบน
เพื่อความปลอดภัยของ NPS ทั้งหมดที่ดีใจของการกระทำของ Subband ได้รับการปล่อยตัวซึ่งเป็นบทบัญญัติพื้นฐานเกี่ยวกับการคุ้มครองข้อมูลในระบบการชำระเงิน "จาก 13.06.2012 ฉบับที่ 584 แต่กฎระเบียบเกี่ยวกับข้อกำหนดสำหรับการสร้างความมั่นใจในการปกป้องข้อมูลในการดำเนินการโอนเงิน ... "จาก 09.06.2012 หมายเลข 382-P) เป็นผู้รับผิดชอบต่อธนาคาร
ด้วยการอัปเดตของ P-382 ตอนนี้แนวโน้มการป้องกันจะเปลี่ยนไปด้านข้าง:
- การประยุกต์ใช้ตู้เอทีเอ็มและเทอร์มินัลการชำระเงิน
- การใช้งานของบัตรชำระเงินพลาสติก
- การใช้อินเทอร์เน็ต (ระบบธนาคารระยะไกล (DB) และระบบธนาคารบนมือถือ);
- ข้อกำหนดสำหรับขั้นตอนการพัฒนาและจำหน่ายซอฟต์แวร์เฉพาะที่มีไว้สำหรับการใช้งานโดยลูกค้าเมื่อถ่ายโอนเงิน
- ซึ่งมีความยินดีอย่างยิ่งที่ขยายความต้องการการรับรู้ของลูกค้าเกี่ยวกับความเสี่ยงที่เป็นไปได้ของการรับการเข้าถึงข้อมูลที่ได้รับการคุ้มครองโดยไม่ได้รับอนุญาตและมาตรการที่แนะนำเพื่อลด;
- ข้อกำหนดสำหรับความต้องการในการจำแนกตู้เอทีเอ็มและเทอร์มินัลการชำระเงินผลลัพธ์ที่ควรคำนึงถึงเมื่อเลือกมาตรการป้องกัน
- ขั้นตอนการระงับการชำระเงินโดยการชำระเงินโดยผู้ประกอบการสำหรับการโอนเงินในกรณีที่ตรวจสอบสัญญาณของการกระทำที่เป็นการฉ้อโกง
- ขั้นตอนการป้องกันจากภัยคุกคามความปลอดภัยที่ทันสมัยมีให้เช่น: Skimming (โดยใช้เงินพิเศษที่ขัดขวางการอ่านแทร็กบัตรการชำระเงินโดยไม่ได้รับอนุญาต; การคุ้มครองบริการที่ตั้งอยู่บนอินเทอร์เน็ตจากการโจมตีภายนอก (Dos-Attacks); การป้องกันฟิชชิ่ง (จาก Falsified Family Resource ของอินเทอร์เน็ต)
- ความต้องการสำหรับการใช้บัตรการชำระเงินที่ติดตั้งไมโครโปรเซสเซอร์ตั้งแต่ปี 2558 และข้อห้ามของการเปิดตัวบัตรที่ไม่ได้ติดตั้งไมโครโปรเซสเซอร์หลังจากวันที่ 1 มกราคม 2558
- 29 ตัวบ่งชี้การประเมินผลใหม่
ความปลอดภัยของข้อมูลของระบบการชำระเงิน
มีการใช้สถานการณ์ที่คล้ายกันโดยใช้ บัตรพลาสติก. ในชุมชนโลกมาตรฐานความปลอดภัยที่ได้รับการยอมรับถือเป็นมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) ซึ่งได้รับการพัฒนาโดยคำแนะนำ PCI SSC รวมถึงแบรนด์การ์ดเช่น Visa, MasterCard, American Express, JCB และ Discovery
มาตรฐาน PCI DSS อธิบายถึงข้อกำหนดสำหรับการป้องกันข้อมูลในผู้ถือบัตรที่จัดกลุ่มเป็นสิบสองส่วนใจ มุ่งเน้นหลักในมาตรฐาน PCI DSS นั้นมีไว้เพื่อให้แน่ใจว่าความปลอดภัยของโครงสร้างพื้นฐานเครือข่ายและการป้องกันข้อมูลที่เก็บไว้ในผู้ถือบัตรชำระเงินตามความเสี่ยงมากที่สุดในแง่ของภัยคุกคามการรักษาความลับ ควรสังเกตว่ามาตรฐานควบคุมกฎสำหรับการพัฒนาอย่างปลอดภัยการสนับสนุนและการดำเนินงานของระบบการชำระเงินรวมถึงขั้นตอนการตรวจสอบของพวกเขา บทบาทที่สำคัญเท่าเทียมกันคือการพัฒนาและสนับสนุนฐานของเอกสารกำกับดูแลของระบบการจัดการความปลอดภัยของข้อมูล
ระบบการชำระเงินระหว่างประเทศบังคับให้องค์กรต้องอยู่ภายใต้ข้อกำหนดของมาตรฐานเพื่อรับการตรวจสอบการปฏิบัติตามข้อกำหนดเหล่านี้อย่างสม่ำเสมอซึ่งไม่ช้าก็เร็วอาจส่งผลกระทบต่อ NSPK อย่างไรก็ตามการรับรองของธนาคารรัสเซียในมาตรฐาน PCI DSS ต่างประเทศค่อนข้างช้าและไม่มีคู่สัญญาในประเทศวันนี้
อย่างไรก็ตามการปฏิบัติตามข้อกำหนดของ P-382 และคณะบรรณาธิการคนสุดท้ายของ US BR IBBS-2014 เป็นไปได้ที่จะเตรียมความพร้อมสำหรับการรับรองเกี่ยวกับการรับรองใน PCI DSS เนื่องจากบทบัญญัติจำนวนมากตัดกับข้อกำหนดของเอกสารในประเทศ : ความปลอดภัยป้องกันไวรัสการเข้ารหัสการกรองด้วยไฟร์วอลล์การเข้าถึงความแตกต่างการติดตามเซสชันการสื่อสารรวมถึงการตรวจสอบการตรวจสอบและการจัดการระบบ IB (ดูรูปที่ 5)
รูปที่ 5. การเปรียบเทียบหมวดหมู่ของข้อมูลที่ได้รับการคุ้มครองตามมาตรฐานต่าง ๆ (ตามศูนย์ระบบรักษาความปลอดภัย URAL, www.usssc.ru, 2014)
ซึ่งแตกต่างจากมาตรฐานต่างประเทศทั้งหมดของรัสเซีย 382-P ถูกเรียกขึ้นเพื่อกระตุ้นนักพัฒนาในประเทศและผู้ผลิตเครื่องมือป้องกันข้อมูล (Сzi) เช่นภาระหน้าที่ของ NPC เพื่อให้แน่ใจว่าการใช้การเข้าถึงที่ไม่ใช่การปั่นป่วนจากการเข้าถึงที่ไม่ได้รับอนุญาต รวมถึงขั้นตอนการประเมินการปฏิบัติตามกฎระเบียบที่กำหนดไว้ ในเวลาเดียวกันการประยุกต์ใช้โซลูชั่นการผลิตต่างประเทศได้รับอนุญาตอย่างชัดเจน
นอกจากนี้ธนาคารแห่งรัสเซียยังคงควบคุมการปฏิบัติตามกฎระเบียบที่จัดตั้งขึ้น ในเอกสารของเขาสิ่งบ่งชี้หมายเลข 2831-Y ลงวันที่ 09.06.2012 "ในการรายงานเพื่อให้แน่ใจว่าการปกป้องข้อมูลในระบบการชำระเงิน ... " ระบุอย่างชัดเจนในรูปแบบใดและด้วยความถี่ของระบบการชำระเงินควรรายงานใน สถานะของความปลอดภัยของข้อมูลในระบบการชำระเงิน
แม้จะมีความนิยมและ PCI DSS ที่แพร่หลาย แต่ยังมีมาตรฐานความปลอดภัยระหว่างประเทศอื่น ๆ ของระบบกรณีที่อยากจะพูดเล็กน้อย หนึ่งในนั้นคือมาตรฐาน PCI PA-DSS (การชำระค่ามาตรฐานความปลอดภัยของข้อมูลแอปพลิเคชัน) การกำหนดแอปพลิเคชันสำหรับข้อมูลการประมวลผลแอปพลิเคชันในผู้ถือบัตรและกระบวนการพัฒนาของพวกเขา และที่สอง - มาตรฐานการชำระเงินมาตรฐานอุตสาหกรรมบัตรการชำระเงินธุรกรรม (PCI PTS) ก่อนหน้านี้ PCI PED เกี่ยวข้องกับผู้ผลิตที่ระบุและใช้พารามิเตอร์ทางเทคนิคและระบบควบคุมสำหรับอุปกรณ์ที่รองรับชุดรหัส PIN และใช้ในการทำธุรกรรมการชำระเงิน
ข้อสรุป
Str BR IBBS เป็นก้าวสำคัญที่สำคัญมากของเส้นทางวิวัฒนาการของการพัฒนาระบบรักษาความปลอดภัยข้อมูลในประเทศ นี่คือหนึ่งในอุตสาหกรรมแรกและปรับให้เข้ากับความเป็นจริงของรัสเซียของมาตรฐาน แน่นอนว่านี่ไม่ใช่ยาครอบจักรวาลจากปัญหาทั้งหมดยังมีปัญหามากมายที่ผู้เชี่ยวชาญกำลังต่อสู้ แต่นี่เป็นประสบการณ์ที่ประสบความสำเร็จครั้งแรกและประสบความสำเร็จอย่างมากทำให้เรามีการอ้างอิงถึงการปฏิบัติในต่างประเทศที่ดีที่สุด
ตามข้อกำหนดของมาตรฐานธนาคารหลายแห่งเตรียมความพร้อมให้กับการรับรองระหว่างประเทศเพื่อให้มั่นใจถึงความปลอดภัยของระบบการชำระเงิน PCI DSS ให้การปกป้องข้อมูลส่วนบุคคลตามข้อกำหนดล่าสุดของหน่วยงานกำกับดูแล ถือเป็นประจำทุกปี ตรวจสอบภายใน ช่วยให้คุณตรวจสอบความปลอดภัยของธนาคารอย่างเป็นกลางจากความเสี่ยงและการคุกคามที่สำคัญของ IB และผู้จัดการมีประสิทธิภาพมากขึ้นในการวางแผนการก่อสร้างและการจัดการระบบป้องกันที่ครอบคลุม
ข้อบกพร่องที่มีอยู่และข้อผิดพลาดที่เห็นได้ชัดเราหวังว่าจะได้รับการแก้ไขในรุ่นต่อไปนี้การเปิดตัวซึ่งอยู่ไม่ไกล ในฤดูใบไม้ผลิของปี 2015 เรากำลังรอ P-382 ที่อัปเดตและการเปลี่ยนแปลงใน BR EBBS Complex สามารถติดตามและติดตามได้ ฉันยังสามารถมีเนื้อหาที่มีการปล่อยตัวในเดือนตุลาคม "มาตรฐานการดำเนินงานทางการเงิน" TC 122 และอย่าลืมว่าไม่ว่าความพยายามที่ดีของหน่วยงานที่สูงขึ้นจะดีแค่ไหนความปลอดภัยของเรายังคงอยู่ในมือของเรา!
volzhsky มหาวิทยาลัยของรัฐ บริการ
Alshanskaya Tatyana Vladimirovna, ผู้สมัครงานวิทยาศาสตร์การสอน, รองศาสตราจารย์, กรมสารสนเทศประยุกต์ในเศรษฐศาสตร์, มหาวิทยาลัยแห่งรัฐ Volga
คำอธิบายประกอบ:
บทความนี้สะท้อนถึงสถานะปัจจุบันของวิธีการที่เย็บ ภาคการธนาคาร และโอกาสในการพัฒนา บทความเปิดเผยภัยคุกคามหลักต่อความปลอดภัยของข้อมูลของธนาคาร กิจกรรมสำหรับการปกป้องข้อมูลในธนาคารที่ต้องดำเนินการเพื่อสร้างระบบการป้องกันที่มีประสิทธิภาพ
บทความนี้สะท้อนให้เห็นถึงสถานะปัจจุบันของวิธีการคุ้มครองข้อมูลของภาคการธนาคารและโอกาสในการพัฒนา บทความครอบคลุมภัยคุกคามหลักต่อความปลอดภัยของข้อมูลของธนาคาร นำเสนอมาตรการเพื่อปกป้องข้อมูลในธนาคารเพื่อดำเนินการเพื่อสร้างระบบการป้องกันที่มีประสิทธิภาพ
คำสำคัญ:
ธนาคาร; ความปลอดภัยของข้อมูล การป้องกันข้อมูล
ความปลอดภัยของข้อมูล ความปลอดภัยของข้อมูล
UDC 338.14
กิจกรรมของธนาคารใด ๆ โดยตรงขึ้นอยู่กับความเร็วในการแลกเปลี่ยนข้อมูลภายในและระบบความปลอดภัยของข้อมูล ผลของโครงสร้างพื้นฐานของธนาคารที่ยังไม่ได้พัฒนาคือความหายนะ: ธนาคารสามารถสูญเสียฐานลูกค้าไม่เพียง แต่ยังมีความมั่นใจ การชนกับงานนี้นำไปสู่การก่อตัวของแนวคิดล่าสุดสำหรับการปกป้องข้อมูลซึ่งได้รับการพัฒนาภายใต้เงื่อนไขของสถาบันสินเชื่อ ดังนั้นการศึกษาระบบการป้องกันข้อมูลในภาคธนาคารจึงเป็นงานที่เกี่ยวข้อง
ตามศิลปะ 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลเทคโนโลยีสารสนเทศและการปกป้องข้อมูล" 27.07.2006 หมายเลข 149-FZ การปกป้องข้อมูลเป็นการยอมรับของกฎหมายองค์กรองค์กรและทางเทคนิคที่มีวัตถุประสงค์เพื่อให้มั่นใจว่าข้อมูลจากการเข้าถึงที่ผิดกฎหมายการทำลายการเปลี่ยนแปลงการปรับเปลี่ยนการปิดกั้น คัดลอกการจัดจำหน่ายรวมถึงการกระทำที่ผิดกฎหมายอื่น ๆ เกี่ยวกับข้อมูลดังกล่าวการปฏิบัติตามความลับของข้อมูลการเข้าถึงที่ จำกัด รวมถึงการดำเนินการตามสิทธิ์ในการเข้าถึงข้อมูล
การคุ้มครองข้อมูลการธนาคารมีการดำเนินการของเหตุการณ์ชุดเดียว - จากการตรวจสอบการป้องกันข้อมูลและการก่อตัวของแนวคิดของการคุ้มครองบริการธนาคารต่างๆ ผู้เชี่ยวชาญของทรงกลมนี้พร้อมที่จะฟอร์มตรงกับโมดูลความปลอดภัยอิสระและแนวคิดที่เข้มข้นของระบบป้องกันข้อมูลที่เข้มข้น
ในกระบวนการของการใช้งานฟังก์ชั่นพื้นฐานของบริการคุ้มครองข้อมูลงานที่เกิดขึ้นการแก้ปัญหาที่คล้อยตามความเป็นทางการที่ไม่ดี ในกรณีนี้เป็นไปได้ที่จะใช้วิธีการของทฤษฎีของระบบและการวิเคราะห์ระบบโดยมีวัตถุประสงค์เพื่อกระตุ้นสัญชาตญาณและประสบการณ์ของผู้เชี่ยวชาญ
หนึ่งในวิธีการปกป้องข้อมูลของธนาคารคือการควบคุมเนื้อเรื่องและการลงทะเบียนข้อมูลลับ ปัญหาที่สำคัญที่สุดในปัญหานี้คือการสร้างทางเลือกที่ปลอดภัยอย่างยิ่งในการแลกเปลี่ยนไฟล์ภายในธนาคาร
เพื่อปกป้องข้อมูลของธนาคารมีการใช้แนวคิดของการระบุตัวตนลักษณะความพร้อมใช้งานของสิทธิ์การเข้าถึงข้อมูล ด้วยเหตุนี้ให้ใช้ระบบรหัสผ่านเพื่อเข้าสู่เครือข่ายท้องถิ่นของธนาคาร พวกเขาสามารถเลือกได้จากผู้ใช้ที่สร้างขึ้นโดยระบบหรือมอบหมายให้เขาโดยผู้จัดการความปลอดภัย นอกจากนี้ยังมีการ์ดเข้าถึงพลาสติกที่มีชิป ด้วยความช่วยเหลือของอัลกอริทึมพิเศษระบบจะเข้ารหัสและทำให้ข้อมูลส่วนบุคคลของผู้ใช้เฉพาะ คีย์อิเล็กทรอนิกส์พระราชบัญญัติเมื่อสัมผัสกับกลไกบนประตูที่ติดตั้งในห้องลับในเซิร์ฟเวอร์และพีซีของผู้ใช้
การคุ้มครองข้อมูลของธนาคารจะทำงานได้อย่างน่าเชื่อถือเฉพาะเมื่อระบบของภัยคุกคามจากภายนอกนั้นถูกกำหนดให้ทันเวลา ในสภาพแวดล้อมภายนอกของระบบประเภทของภัยคุกคามข้อมูลต่อไปนี้จะถูกแยกออกจากกันตาราง หนึ่ง.
ตารางที่ 1. ประเภทของการคุกคามของข้อมูลในสภาพแวดล้อมภายนอก
ชื่อของภัยคุกคาม |
เกี่ยวกับลักษณะ |
|
การละเมิดความซื่อสัตย์ทางกายภาพ |
การทำลายล้างการทำลายองค์ประกอบ |
|
การละเมิดความสมบูรณ์แบบตรรกะ |
การทำลายการเชื่อมต่อแบบลอจิคัล |
|
การปรับเปลี่ยนเนื้อหา |
การเปลี่ยนบล็อกข้อมูลการกำหนดข้อมูลภายนอกของข้อมูลเท็จ |
|
การละเมิดความเป็นส่วนตัว |
การป้องกันการป้องกันลดระดับความปลอดภัยของข้อมูล |
|
การละเมิดความเป็นเจ้าของของข้อมูล |
การคัดลอกโดยไม่ได้รับอนุญาต |
การวางแผนระบบการป้องกันข้อมูลสำหรับ บริษัท ควรอำนวยความสะดวกในการลดลงของผลลัพธ์ที่น่าจะมีแนวโน้มเกี่ยวกับการประยุกต์ใช้เทคโนโลยีสารสนเทศและการรับประกันความเป็นไปได้ในการดำเนินการตามเป้าหมายที่สำคัญและวัตถุประสงค์ของสถาบันสินเชื่อ รูปแบบการสร้างเมื่อออกแบบหรืออัพเกรดระบบป้องกันข้อมูลในธนาคารเป็นวิธีธรรมชาติในการแก้ปัญหาการวิเคราะห์และการออกแบบด้วยต้นทุนที่เล็กที่สุดและผลตอบแทนที่สำคัญ ธนาคารใช้แบบจำลองของผู้ฝ่าฝืนความปลอดภัยข้อมูลซึ่งรวมถึง:
- คำอธิบายของผู้ละเมิดความปลอดภัยข้อมูล
- การจำแนกประเภทของผู้ละเมิดความปลอดภัยข้อมูล
- คำอธิบายของประสบการณ์และความรู้ของผู้บุกรุก
- คำอธิบายของทรัพยากรที่มีอยู่ที่จำเป็นสำหรับการดำเนินการของภัยคุกคาม
- คำอธิบายของแรงจูงใจที่เป็นไปได้ของการกระทำของผู้บุกรุก;
- วิธีในการใช้การคุกคามของความปลอดภัยของข้อมูลโดยผู้ฝ่าฝืนที่ระบุ
ในการสร้างแบบจำลองฝ่าฝืนข้อมูลจากบริการรักษาความปลอดภัยหน่วยความเสี่ยงและบริการควบคุมภายในของธนาคารในวิธีการเข้าถึงข้อมูลและการประมวลผลในวิธีการที่เป็นไปได้ของการสกัดกั้นข้อมูลในขั้นตอนการถ่ายโอนการประมวลผลและการจัดเก็บใน การตั้งค่าในทีมและเกี่ยวกับการป้องกันข้อมูลเกี่ยวกับคู่แข่งและสถานการณ์ในตลาดเกี่ยวกับกรณีการโจรกรรมข้อมูลและสิ่งที่คล้ายกัน .
นอกจากนี้ความสามารถด้านเทคนิคการดำเนินงานจริงของผู้กระทำความผิดคาดว่าจะมีอิทธิพลต่อแนวคิดของการป้องกันหรือวัตถุที่มีการป้องกัน ภายใต้ความสามารถด้านเทคนิคเป็นที่เข้าใจว่าเป็นรายการของเทคนิคต่าง ๆ หมายความว่าผู้กระทำความผิดสามารถวางในระหว่างการดำเนินงานที่มุ่งเน้นไปที่ระบบป้องกันข้อมูล
ในที่สุดก็ควรสังเกตว่าการใช้โมเดลที่มีประสิทธิภาพอนุญาตได้เฉพาะกับข้อมูลแหล่งที่มีคุณภาพสูงที่จำเป็นในการอธิบายรุ่นเมื่อแก้ปัญหาการป้องกัน ความจริงที่ว่าข้อมูลแหล่งที่มาจำนวนมากมีความไม่แน่นอนในระดับสูง ด้วยเหตุนี้จึงจำเป็นต้องไม่จำลองข้อมูลที่จำเป็น แต่เป็นการประเมินและการกำหนดรูปแบบเป็นประจำ
รายการบรรณานุกรม:
1. Alshanskaya, T. V. การประยุกต์ใช้วิธีการวิเคราะห์ระบบโดยผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล [ข้อความ] / T. V. Alshanskaya ระบบสารสนเทศและเทคโนโลยี: การจัดการและความปลอดภัย: วันเสาร์ ศิลปะ. III การประชุมทางวิทยาศาสตร์ระหว่างประเทศทางวิทยาศาสตร์และการปฏิบัติทางวิทยาศาสตร์ / Volga มหาวิทยาลัยเซอร์วิส. - Tolyatti: Publishing House Pvgus, 2014 - 348 p
2. Trofimova, V. V. ระบบสารสนเทศและเทคโนโลยีในระบบเศรษฐกิจและการจัดการ [ข้อความ] / v.v. trofimova ม.: Yurait, 2012 - 521 หน้า
3. กฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลเทคโนโลยีสารสนเทศและการป้องกันข้อมูล" ของ 07/27/2006 หมายเลข 149-FZ
กิจกรรมการธนาคารมีความเกี่ยวข้องกับการประมวลผลและการเก็บรักษาข้อมูลที่เป็นความลับจำนวนมากเสมอ ก่อนอื่นสิ่งเหล่านี้เป็นข้อมูลส่วนบุคคลเกี่ยวกับลูกค้าผลงานและการดำเนินงานทั้งหมดที่ดำเนินการ
ข้อมูลเชิงพาณิชย์ทั้งหมดที่เก็บไว้และดำเนินการใน องค์กรสินเชื่ออยู่ภายใต้ความเสี่ยงที่หลากหลายที่เกี่ยวข้องกับไวรัสความล้มเหลวของฮาร์ดแวร์ความล้มเหลวของระบบปฏิบัติการ ฯลฯ แต่ปัญหาเหล่านี้ไม่สามารถสร้างความเสียหายร้ายแรงใด ๆ การสำรองข้อมูลรายวันของข้อมูลโดยไม่ต้องใช้งานของระบบสารสนเทศขององค์กรใด ๆ ที่คิดไม่ถึงลดความเสี่ยงของการสูญเสียข้อมูลที่ไม่สามารถเอาชนะได้อย่างน้อยที่สุด นอกจากนี้วิธีการป้องกันภัยคุกคามที่ระบุไว้ได้รับการออกแบบมาอย่างดีและได้รับการออกแบบอย่างกว้างขวาง ดังนั้นความเสี่ยงที่เกี่ยวข้องกับการเข้าถึงข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต (NSD) มาถึงก่อน
การเข้าถึงที่ไม่ได้รับอนุญาตคือความเป็นจริง
จนถึงปัจจุบันสามวิธีในการขโมยข้อมูลที่เป็นความลับนั้นพบมากที่สุด ครั้งแรกการเข้าถึงทางกายภาพไปยังสถานที่เก็บข้อมูลและการประมวลผล มีตัวเลือกมากมายที่นี่ ตัวอย่างเช่นผู้โจมตีสามารถไต่สำนักงานธนาคารในเวลากลางคืนและขโมยฮาร์ดไดรฟ์ด้วยฐานข้อมูลทั้งหมด เป็นไปได้แม้จะมีข้อบกพร่องติดอาวุธจุดประสงค์ที่ไม่ใช่เงิน แต่ข้อมูล สถานการณ์ไม่ได้รับการยกเว้นเมื่อพนักงานของธนาคารสามารถแบกรับข้อมูลนอกอาณาเขต
ประการที่สองการใช้การสำรองข้อมูล ในธนาคารส่วนใหญ่ระบบความซ้ำซ้อนของข้อมูลสำคัญขึ้นอยู่กับความก้าวหน้า พวกเขาบันทึกสำเนาที่สร้างขึ้นสำหรับเทปแม่เหล็กซึ่งเก็บไว้ในที่ที่แยกต่างหาก การเข้าถึงพวกเขาถูกควบคุมอย่างอ่อนโยนมากขึ้น เมื่อพวกเขาถูกขนส่งและเก็บไว้ผู้คนจำนวนมากสามารถลบสำเนาออกจากพวกเขาได้ ความเสี่ยงที่เกี่ยวข้องกับข้อมูลลับสำรองไม่สามารถประเมินได้ ตัวอย่างเช่นผู้เชี่ยวชาญส่วนใหญ่มีความมั่นใจว่าฐานข้อมูลของธนาคารกลางของสหพันธรัฐรัสเซียในปี 2005 ถูกขโมยด้วยสำเนาจากเทปแม่เหล็ก ในการปฏิบัติโลกมีเหตุการณ์ที่คล้ายกันมากมาย โดยเฉพาะในเดือนกันยายนปีที่แล้วพนักงานบริการบัตรเชส (แผนก JPMorgan Chase & Co. ) ผู้จัดจำหน่ายบัตรเครดิตทุบเทปแม่เหล็กห้าครั้งโดยมีการสำรองข้อมูลที่มีข้อมูลเกี่ยวกับ 2.6 ล้านผู้ถือสินเชื่อ Circuit City City
ประการที่สามวิธีที่เป็นไปได้ในการรั่วไหลของข้อมูลที่เป็นความลับคือการเข้าถึงพนักงานธนาคารโดยไม่ได้รับอนุญาต เมื่อใช้เพื่อแยกสิทธิ์ของเครื่องมือมาตรฐานของระบบปฏิบัติการเท่านั้นผู้ใช้มักจะมีความสามารถในการใช้งานทางอ้อม (ใช้ซอฟต์แวร์เฉพาะ) คัดลอกฐานข้อมูลทั้งหมดที่ทำงานและทำให้พวกเขาออกจาก บริษัท บางครั้งพนักงานทำโดยไม่มีเจตนาที่เป็นอันตรายเพียงเพื่อทำงานกับข้อมูลที่บ้าน อย่างไรก็ตามการกระทำดังกล่าวเป็นการละเมิดความปลอดภัยที่สำคัญและพวกเขาสามารถกลายเป็น (และกลายเป็น!) เหตุผลในการเผยแพร่ข้อมูลที่เป็นความลับ
นอกจากนี้ในธนาคารใด ๆ มีกลุ่มคนที่มีสิทธิ์ในการยกระดับในเครือข่ายท้องถิ่น เรากำลังพูดถึงผู้ดูแลระบบ ในมือข้างหนึ่งมีความจำเป็นสำหรับพวกเขาที่จะปฏิบัติหน้าที่อย่างเป็นทางการ แต่ในทางกลับกันพวกเขามีโอกาสเข้าถึงข้อมูลใด ๆ และ "ตรวจสอบแทร็ก"
ดังนั้นระบบป้องกัน ข้อมูลการธนาคาร จากการเข้าถึงที่ไม่ได้รับอนุญาตควรประกอบด้วยระบบย่อยอย่างน้อยสามตัวซึ่งแต่ละแห่งจะช่วยให้มั่นใจถึงการป้องกันประเภทของภัยคุกคาม นี่คือระบบย่อยของการป้องกันการเข้าถึงทางกายภาพไปยังข้อมูลการสำรองข้อมูลการสำรองข้อมูลระบบย่อยความปลอดภัยและระบบย่อยความปลอดภัยภายใน และเป็นที่พึงปรารถนาที่จะไม่ละเลยพวกเขาเนื่องจากการคุกคามแต่ละครั้งอาจทำให้เกิดการเปิดเผยข้อมูลที่เป็นความลับ
กฎหมายธนาคารไม่ได้เขียน?
ปัจจุบันกิจกรรมของธนาคารได้รับการควบคุมโดยกฎหมายของรัฐบาลกลาง "ในธนาคารและกิจกรรมการธนาคาร" ในสิ่งอื่น ๆ แนวคิดของ "การธนาคารลึกลับ" ได้รับการแนะนำ ตามเขาองค์กรเครดิตใด ๆ มีหน้าที่ต้องมั่นใจในการรักษาความลับของข้อมูลทั้งหมดในการฝากเงินของลูกค้า สำหรับการเปิดเผยของพวกเขามีหน้าที่รับผิดชอบรวมถึงการชำระเงินคืนจากความเสียหายเนื่องจากการรั่วไหล ในเวลาเดียวกันไม่มีข้อกำหนดสำหรับความปลอดภัยของระบบข้อมูลธนาคารจะไม่ถูกนำเสนอ ซึ่งหมายความว่าการตัดสินใจทั้งหมดเกี่ยวกับการคุ้มครองของธนาคารข้อมูลเชิงพาณิชย์ได้รับการยอมรับอย่างอิสระตามประสบการณ์ของผู้เชี่ยวชาญหรือ บริษัท ของบุคคลที่สาม (ตัวอย่างเช่นการตรวจสอบความปลอดภัยของข้อมูล) คำแนะนำเพียงอย่างเดียวคือมาตรฐานของธนาคารกลางของสหพันธรัฐรัสเซีย "สร้างความมั่นใจในความปลอดภัยของข้อมูลขององค์กรของระบบธนาคารของสหพันธรัฐรัสเซีย ทั่วไป. " เขาปรากฏตัวครั้งแรกในปี 2547 และในปี 2549 เป็นรุ่นใหม่ได้รับการรับรอง เมื่อสร้างและปรับแต่งเอกสารแผนกนี้มาตรฐานรัสเซียและสากลที่มีอยู่ในด้านความปลอดภัยของข้อมูล
ธนาคารกลางของสหพันธรัฐรัสเซียสามารถแนะนำให้ธนาคารอื่นเท่านั้น แต่ยังไม่สามารถยืนยันในการดำเนินการบังคับ นอกจากนี้ในมาตรฐานมีข้อกำหนดที่ชัดเจนเล็กน้อยที่กำหนดทางเลือกของผลิตภัณฑ์เฉพาะ เขามีความสำคัญอย่างยิ่ง แต่ในขณะนี้ไม่มีค่าจริงที่ร้ายแรง ตัวอย่างเช่นเกี่ยวกับผลิตภัณฑ์ที่ผ่านการรับรองในการกล่าวเช่นนี้: "... เครื่องมือที่ได้รับการรับรองหรือได้รับอนุญาตสำหรับการป้องกันข้อมูลจาก NSD สามารถใช้งานได้ รายการที่เกี่ยวข้องหายไป
ระบุไว้ในมาตรฐานและข้อกำหนดสำหรับการเข้ารหัสหมายถึงการป้องกันข้อมูลในธนาคาร และที่นี่มีคำจำกัดความที่ชัดเจนมากขึ้นหรือน้อยกว่า: "สกี ... ควรดำเนินการบนพื้นฐานของอัลกอริทึมที่ตรงกับมาตรฐานแห่งชาติของสหพันธรัฐรัสเซียเงื่อนไขของสัญญากับคู่สัญญาและ (หรือ) มาตรฐานองค์กร" ยืนยันการโต้ตอบของโมดูลการเข้ารหัสลับ 28147-89 สามารถทำได้โดยการรับรอง ดังนั้นเมื่อใช้ในระบบการเข้ารหัสของธนาคารจึงเป็นที่พึงปรารถนาที่จะใช้ FSB ที่ได้รับการรับรองจากซอฟต์แวร์สหพันธรัฐรัสเซียหรือฮาร์ดแวร์ cryptoprovideers ที่เป็นโมดูลภายนอกที่เชื่อมต่อกับซอฟต์แวร์และกระบวนการเข้ารหัสปัจจุบัน
ในเดือนกรกฎาคมปีที่แล้วกฎหมายของรัฐบาลกลางของสหพันธรัฐรัสเซีย "ในข้อมูลส่วนบุคคล" ถูกนำมาใช้ซึ่งมีผลบังคับใช้ในวันที่ 1 มกราคม 2550 ผู้เชี่ยวชาญบางคนที่เกี่ยวข้องกับการเกิดขึ้นของความต้องการเฉพาะเจาะจงมากขึ้นสำหรับระบบการป้องกันการธนาคารเนื่องจากธนาคารเป็นขององค์กรที่กำลังประมวลผลข้อมูลส่วนบุคคล อย่างไรก็ตามกฎหมายตัวเองมีความสำคัญอย่างยิ่งโดยทั่วไปในวันนี้ไม่สามารถใช้งานได้ในทางปฏิบัติ ปัญหาอยู่ในกรณีที่ไม่มีมาตรฐานสำหรับการปกป้องข้อมูลส่วนตัวและอวัยวะที่สามารถควบคุมการดำเนินการของพวกเขาได้ นั่นคือปรากฎว่าปัจจุบันธนาคารมีอิสระในการเลือกระบบป้องกันข้อมูลเชิงพาณิชย์
การป้องกันการเข้าถึงทางกายภาพ
ธนาคารให้ความสนใจอย่างมากต่อความปลอดภัยทางกายภาพของสำนักงานปฏิบัติการสาขาที่เก็บทรัพย์สิน ฯลฯ ทั้งหมดนี้ช่วยลดความเสี่ยงในการเข้าถึงข้อมูลเชิงพาณิชย์โดยไม่ได้รับอนุญาตโดยการเข้าถึงทางกายภาพ อย่างไรก็ตามสำนักงานธนาคารและ อาคารเทคนิคซึ่งเซิร์ฟเวอร์โฮสต์ตามระดับของการป้องกันไม่แตกต่างจากสำนักงานของ บริษัท อื่น ๆ ดังนั้นเพื่อลดความเสี่ยงที่อธิบายไว้จำเป็นต้องใช้ระบบป้องกันการเข้ารหัส
วันนี้มีระบบสาธารณูปโภคจำนวนมากในตลาดที่เข้ารหัสข้อมูล อย่างไรก็ตามคุณสมบัติของการประมวลผลของพวกเขาในธนาคารกำหนดข้อกำหนดเพิ่มเติมที่เหมาะสม ก่อนในระบบป้องกันการเข้ารหัสลับควรใช้หลักการของการเข้ารหัสที่โปร่งใสควรดำเนินการ เมื่อใช้งานข้อมูลเป็นที่เก็บส่วนใหญ่จะถูกเข้ารหัสเท่านั้น นอกจากนี้เทคโนโลยีนี้ช่วยให้คุณลดค่าใช้จ่ายในการทำงานเป็นประจำ พวกเขาไม่จำเป็นต้องถอดรหัสและเข้ารหัสในแต่ละวัน การเข้าถึงข้อมูลจะดำเนินการโดยใช้ซอฟต์แวร์พิเศษที่ติดตั้งบนเซิร์ฟเวอร์ มันถอดรหัสข้อมูลโดยอัตโนมัติเมื่อเข้าถึงและเข้ารหัสก่อนที่จะเขียนไปยังฮาร์ดดิสก์ การดำเนินการเหล่านี้จะดำเนินการโดยตรงในเซิร์ฟเวอร์ RAM
ประการที่สองฐานข้อมูลธนาคารมีขนาดใหญ่มาก ดังนั้นระบบการป้องกันข้อมูลการเข้ารหัสควรใช้งานไม่ได้ด้วย Virtual แต่มีพาร์ติชันจริงของฮาร์ดไดรฟ์อาร์เรย์ RAID และผู้ให้บริการข้อมูลเซิร์ฟเวอร์อื่น ๆ เช่นกับสิ่งอำนวยความสะดวกการจัดเก็บ SAN ความจริงก็คือไฟล์คอนเทนเนอร์ที่สามารถเชื่อมต่อกับระบบเป็นดิสก์เสมือนไม่ได้มีวัตถุประสงค์เพื่อทำงานกับข้อมูลจำนวนมาก ในกรณีที่ดิสก์เสมือนที่สร้างขึ้นจากไฟล์ดังกล่าวมีขนาดใหญ่เมื่อเข้าใช้งานพร้อมกันแม้แต่หลายคนคุณสามารถสังเกตการลดความเร็วของความเร็วในการอ่านและการเขียนที่สำคัญ การทำงานของคนหลายสิบคนที่มีไฟล์คอนเทนเนอร์ขนาดใหญ่สามารถเปลี่ยนเป็นความทรมานด้วยสายตา นอกจากนี้จะต้องคำนึงถึงว่าวัตถุเหล่านี้มีความเสี่ยงต่อความเสียหายเนื่องจากไวรัสระบบไฟล์ล้มเหลว ฯลฯ หลังจากทั้งหมดในสาระสำคัญพวกเขาเป็นตัวแทนของไฟล์ธรรมดา แต่ค่อนข้างใหญ่ และแม้แต่การเปลี่ยนแปลงขนาดเล็กของพวกเขาสามารถนำไปสู่การถอดรหัสข้อมูลทั้งหมดที่มีอยู่ในนั้น ข้อกำหนดทั้งสองนี้บังคับให้แคบลงอย่างมีนัยสำคัญวงกลมที่เหมาะสมสำหรับการปกป้องผลิตภัณฑ์ จริงๆแล้ววันนี้ ตลาดรัสเซีย มีระบบดังกล่าวมีเพียงไม่กี่ระบบ
ไม่จำเป็นต้องพิจารณาคุณสมบัติทางเทคนิคของระบบเซิร์ฟเวอร์ของการป้องกันการเข้ารหัสข้อมูลในรายละเอียดตั้งแต่หนึ่งในตัวเลขที่ผ่านมาที่เราได้เปรียบเทียบผลิตภัณฑ์เหล่านี้แล้ว (Stolyarov N. , Davletkhanov M. UTM-Protection) แต่เป็นที่น่าสนใจเกี่ยวกับคุณสมบัติบางอย่างของระบบดังกล่าวการปรากฏตัวของซึ่งเป็นไปตามธนาคาร ครั้งแรกที่เกี่ยวข้องกับการรับรองที่กล่าวถึงแล้วของโมดูลการเข้ารหัสลับที่ใช้แล้ว ซอฟต์แวร์หรือฮาร์ดแวร์ที่เกี่ยวข้องอยู่ในธนาคารส่วนใหญ่แล้ว ดังนั้นระบบความปลอดภัยของเซิร์ฟเวอร์ต้องให้ความเป็นไปได้ในการเชื่อมต่อและใช้งาน ข้อกำหนดพิเศษที่สองสำหรับระบบรักษาความปลอดภัยข้อมูลเป็นไปได้ที่จะรวมระบบรักษาความปลอดภัยทางกายภาพของห้องสำนักงานและ / หรือเซิร์ฟเวอร์ สิ่งนี้ช่วยให้คุณสามารถปกป้องข้อมูลจากการเข้าถึงที่ไม่ได้รับอนุญาตที่เกี่ยวข้องกับการโจรกรรมแฮ็ค ฯลฯ
ควรให้ความสนใจเป็นพิเศษในธนาคารเพื่อความปลอดภัยของข้อมูลเนื่องจากเป็นเงินของลูกค้าจริง ดังนั้นในระบบป้องกันความเป็นไปได้พิเศษจะต้องให้เพื่อลดความเสี่ยงของการสูญเสีย หนึ่งในสิ่งที่โดดเด่นที่สุดคือหน้าที่ของการกำหนดเซกเตอร์ที่เสียในฮาร์ดดิสก์ นอกจากนี้ความเป็นไปได้ของการระงับและการยกเลิกกระบวนการของการเข้ารหัสดิสก์เริ่มต้นการถอดรหัสและการกวนเป็นสิ่งสำคัญที่สุด สิ่งเหล่านี้เป็นขั้นตอนที่ค่อนข้างยาวความล้มเหลวใด ๆ ในระหว่างที่คุกคามการสูญเสียข้อมูลทั้งหมดทั้งหมด
ผลกระทบที่ใหญ่มากต่อความเสี่ยงที่เกี่ยวข้องกับการเข้าถึงข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาตมีปัจจัยมนุษย์ ดังนั้นจึงเป็นที่พึงปรารถนาว่าระบบป้องกันให้ความเป็นไปได้ในการลดความสัมพันธ์ดังกล่าว นี่คือความสำเร็จโดยใช้เครื่องมือจัดเก็บข้อมูลที่เชื่อถือได้สำหรับคีย์การเข้ารหัส - สมาร์ทการ์ดหรือคีย์ USB ที่ดีที่สุดคือรายการของโทเค็นเหล่านี้เข้าสู่ผลิตภัณฑ์มันช่วยให้ไม่เพียง แต่เพื่อเพิ่มประสิทธิภาพค่าใช้จ่าย แต่ยังให้ความเข้ากันได้อย่างสมบูรณ์ของซอฟต์แวร์และฮาร์ดแวร์
คุณสมบัติที่สำคัญอีกอย่างที่ช่วยให้คุณลดอิทธิพลของปัจจัยมนุษย์ในความน่าเชื่อถือของระบบป้องกันคือโควรัมของคีย์ สาระสำคัญของมันอยู่ในการแบ่งคีย์การเข้ารหัสเป็นหลายส่วนแต่ละส่วนจะได้รับการใช้งานของพนักงานที่รับผิดชอบหนึ่งคน ในการเชื่อมต่อดิสก์ปิดการปรากฏตัวของจำนวนชิ้นส่วนที่กำหนด นอกจากนี้อาจน้อยกว่าจำนวนส่วนทั้งหมดของคีย์ วิธีนี้ช่วยให้คุณสามารถรักษาข้อมูลจากการใช้งานในทางที่ผิดของพนักงานที่รับผิดชอบและยังให้ความยืดหยุ่นที่จำเป็นในการทำงาน
การป้องกันการสำรองข้อมูล
การจองข้อมูลทั้งหมดที่เก็บไว้ในธนาคารเป็นมาตรการที่จำเป็นอย่างยิ่ง ช่วยให้คุณลดการสูญเสียอย่างมีนัยสำคัญในกรณีที่เกิดปัญหาเช่นความเสียหายต่อไวรัสความล้มเหลวของฮาร์ดแวร์ ฯลฯ แต่ในขณะเดียวกันก็ช่วยเพิ่มความเสี่ยงที่เกี่ยวข้องกับการเข้าถึงที่ไม่ได้รับอนุญาต การปฏิบัติแสดงให้เห็นว่าสื่อที่บันทึกการสำรองข้อมูลที่บันทึกไว้ไม่ควรเก็บไว้ในห้องเซิร์ฟเวอร์ แต่ในห้องอื่นหรือแม้กระทั่งอาคาร มิฉะนั้นเมื่อเกิดไฟไหม้หรือเหตุการณ์ที่ร้ายแรงอื่นหายไปอย่างถาวรอาจเป็นทั้งข้อมูลและคลังเก็บของพวกเขา คุณสามารถปกป้องสำเนาสำรองได้อย่างปลอดภัยจากการใช้งานโดยไม่ได้รับอนุญาตโดยใช้การเข้ารหัส ในกรณีนี้การเข้ารหัสคีย์ในตัวเองเจ้าหน้าที่รักษาความปลอดภัยสามารถส่งสื่อได้อย่างสงบกับคลังข้อมูลเจ้าหน้าที่ด้านเทคนิค
ความซับซ้อนหลักในองค์กรของการป้องกันการเข้ารหัสของสำเนาสำรองคือความจำเป็นในการแยกหน้าที่ในการจัดการการเก็บถาวรข้อมูล ในการกำหนดค่าและใช้กระบวนการสำรองข้อมูลตัวเองผู้ดูแลระบบหรือเจ้าหน้าที่ด้านเทคนิคอื่น ๆ ในการจัดการการเข้ารหัสข้อมูลเดียวกันต้องเป็นพนักงานที่รับผิดชอบ - เจ้าหน้าที่รักษาความปลอดภัย ในกรณีนี้มีความจำเป็นต้องเข้าใจว่าการจองในส่วนใหญ่ที่ครอบงำจะดำเนินการในโหมดอัตโนมัติ คุณสามารถแก้ปัญหานี้ได้เฉพาะ "การฝัง" ระบบการป้องกันการเข้ารหัสระหว่างระบบควบคุมสำรองและอุปกรณ์ที่บันทึกข้อมูล (สตรีมไดรฟ์ดีวีดี ฯลฯ )
ดังนั้นผลิตภัณฑ์การเข้ารหัสลับสำหรับความเป็นไปได้ของการใช้งานในธนาคารควรสามารถทำงานกับอุปกรณ์ต่าง ๆ ที่ใช้ในการบันทึกสำเนาสำรองข้อมูลไปยังสื่อ: Strides, CD- และไดรฟ์ DVD, ฮาร์ดดิสก์ที่ถอดออกได้
วันนี้มีผลิตภัณฑ์สามประเภทที่ออกแบบมาเพื่อลดความเสี่ยงที่เกี่ยวข้องกับการเข้าถึงสำเนาสำรองที่ไม่ได้รับอนุญาต ครั้งแรกที่รวมถึงอุปกรณ์พิเศษ โซลูชันฮาร์ดแวร์ดังกล่าวมีข้อดีหลายประการรวมถึงการเข้ารหัสข้อมูลที่เชื่อถือได้และความเร็วสูง อย่างไรก็ตามพวกเขามีข้อเสียที่สำคัญสามข้อที่ไม่อนุญาตให้พวกเขาใช้ในธนาคาร ครั้งแรก: ต้นทุนสูงมาก (หลายหมื่นดอลลาร์) ประการที่สอง: ปัญหาที่เป็นไปได้กับการนำเข้าสู่รัสเซีย (คุณไม่สามารถลืมได้ว่าเรากำลังพูดถึงวิธีการเข้ารหัสลับ) ลบที่สามคือความไม่สามารถในการเชื่อมต่อ cryptoprodes ที่ได้รับการรับรองจากภายนอกกับพวกเขา บอร์ดเหล่านี้ทำงานได้กับอัลกอริทึมการเข้ารหัสที่ดำเนินการในระดับฮาร์ดแวร์เท่านั้น
กลุ่มที่สองของระบบการป้องกันการเข้ารหัสลับสำหรับการสำรองข้อมูลโมดูลที่เสนอซอฟต์แวร์และฮาร์ดแวร์นักพัฒนาซอฟต์แวร์สำหรับการสำรองข้อมูล พวกเขามีอยู่สำหรับผลิตภัณฑ์ที่มีชื่อเสียงที่สุดในพื้นที่นี้: ArcServe, Veritas Backup Exec และอื่น ๆ จริงและพวกเขามีคุณสมบัติของตัวเอง ที่สำคัญที่สุดคือการทำงานกับซอฟต์แวร์หรือไดรฟ์ "ของคุณ" เท่านั้น ระบบข้อมูลของธนาคารมีการพัฒนาอย่างต่อเนื่อง และเป็นไปได้ว่าการเปลี่ยนหรือขยายระบบการสำรองข้อมูลอาจต้องใช้ต้นทุนเพิ่มเติมเพื่อแก้ไขระบบป้องกัน นอกจากนี้ในผลิตภัณฑ์ส่วนใหญ่ของกลุ่มนี้อัลกอริธึมการเข้ารหัสช้าเก่า (ตัวอย่างเช่น 3Des) มีการใช้งานไม่มีเครื่องมือการจัดการที่สำคัญไม่มีความเป็นไปได้ในการเชื่อมต่อ Cryptoprovideers ภายนอก
ทั้งหมดนี้บังคับให้ใส่ใจอย่างใกล้ชิดกับระบบการป้องกันการเข้ารหัสของสำเนาสำรองจากกลุ่มที่สาม มันมีซอฟต์แวร์ที่ออกแบบมาเป็นพิเศษซอฟต์แวร์และผลิตภัณฑ์ฮาร์ดแวร์และฮาร์ดแวร์ที่ไม่ได้รับผลกระทบจากระบบเก็บข้อมูลเฉพาะ พวกเขาสนับสนุนอุปกรณ์บันทึกข้อมูลที่หลากหลายซึ่งช่วยให้พวกเขาสามารถนำไปใช้ทั่วทั้งธนาคารรวมถึงสาขาทั้งหมด สิ่งนี้ทำให้มั่นใจได้ถึงความสม่ำเสมอของเครื่องมือที่ใช้และลดต้นทุนการดำเนินงานให้น้อยที่สุด
จริงมันเป็นที่น่าสังเกตว่าแม้จะมีข้อได้เปรียบทั้งหมดของพวกเขา แต่ผลิตภัณฑ์บางอย่างจากกลุ่มที่สามจะแสดงในตลาด นี่เป็นไปได้มากที่สุดเนื่องจากการขาดความต้องการอย่างมากสำหรับระบบการป้องกันการเข้ารหัสลับของสำเนาสำรอง ทันทีที่ผู้บริหารของธนาคารและองค์กรหลักอื่น ๆ ตระหนักถึงความเป็นจริงของความเสี่ยงที่เกี่ยวข้องกับการเก็บถาวรของข้อมูลเชิงพาณิชย์จำนวนผู้เล่นในตลาดนี้จะเติบโต
ป้องกันวงใน
การวิจัยล่าสุดในด้านความปลอดภัยของข้อมูลเช่นการสำรวจอาชญากรรมคอมพิวเตอร์ CSI / FBI ประจำปีได้แสดงให้เห็นว่าความขาดทุนทางการเงินของ บริษัท จากภัยคุกคามส่วนใหญ่ลดลงจากปี อย่างไรก็ตามมีความเสี่ยงหลายอย่างขาดทุนจากการเติบโต หนึ่งในนั้นคือการขโมยข้อมูลที่เป็นความลับโดยเจตนาหรือการละเมิดกฎสำหรับการรักษาโดยพนักงานที่มีการเข้าถึงข้อมูลเชิงพาณิชย์เป็นสิ่งจำเป็นในการปฏิบัติหน้าที่อย่างเป็นทางการ พวกเขาเรียกว่าคนวงใน
ในกรณีส่วนใหญ่ที่ท่วมท้นการขโมยข้อมูลที่เป็นความลับดำเนินการโดยใช้สื่อมือถือ: ซีดีและดีวีดีอุปกรณ์ ZIP และที่สำคัญที่สุดคือไดรฟ์ USB ทุกประเภท มันเป็นการกระจายมวลของพวกเขาและนำไปสู่การออกดอกของคนวงในทั่วโลก ผู้นำของธนาคารส่วนใหญ่เข้าใจสิ่งที่พวกเขาสามารถคุกคามเช่นฐานข้อมูลจากข้อมูลส่วนบุคคลจากลูกค้าของพวกเขาหรือโดยเฉพาะการเดินสายไฟในบัญชีของพวกเขาในมือของโครงสร้างอาชญากรรม และพวกเขากำลังพยายามที่จะต่อสู้กับการขโมยข้อมูลที่มีอยู่สำหรับพวกเขาด้วยวิธีการขององค์กร
อย่างไรก็ตามวิธีการขององค์กรในกรณีนี้ไม่มีประสิทธิภาพ วันนี้คุณสามารถจัดระเบียบการถ่ายโอนข้อมูลระหว่างคอมพิวเตอร์โดยใช้แฟลชไดรฟ์ขนาดเล็กโทรศัพท์มือถือเครื่องเล่น MP3 กล้องดิจิตอล ... แน่นอนคุณสามารถลองห้ามอุปกรณ์เหล่านี้ทั้งหมดในสำนักงาน แต่นี่เป็นครั้งแรก จะส่งผลเสียต่อความสัมพันธ์กับพนักงานและประการที่สองเพื่อสร้างการควบคุมที่มีประสิทธิภาพมากกว่าผู้คนยังคงเป็นเรื่องยากมาก - ธนาคารไม่ใช่ "กล่องจดหมาย" และแม้กระทั่งการปิดเครื่องบนคอมพิวเตอร์อุปกรณ์ทั้งหมดที่สามารถใช้ในการบันทึกข้อมูลเกี่ยวกับผู้ให้บริการภายนอก (FDD และแผ่นซิปไดรฟ์ซีดีและดีวีดี ฯลฯ ) และพอร์ต USB จะไม่ช่วย ท้ายที่สุดสิ่งแรกที่จำเป็นสำหรับการทำงานและที่สองเชื่อมต่อกันด้วยอุปกรณ์ต่อพ่วงที่หลากหลาย: เครื่องพิมพ์สแกนเนอร์ ฯลฯ และไม่มีใครสามารถป้องกันบุคคลที่จะปิดการใช้งานเครื่องพิมพ์สักครู่ให้ใส่แฟลชไดรฟ์ลงในพอร์ตอิสระและคัดลอกข้อมูลสำคัญเกี่ยวกับมัน แน่นอนว่าคุณสามารถหาวิธีดั้งเดิมในการปกป้อง ตัวอย่างเช่นในหนึ่งธนาคารวิธีการแก้ปัญหาคือการพยายาม: การเชื่อมต่อพอร์ต USB และสายเคเบิลอีพอกซีเรซินถูกเทลงอย่างแน่นหนา "ผูก" สุดท้ายกับคอมพิวเตอร์ แต่โชคดีที่วันนี้มีวิธีการตรวจสอบที่ทันสมัยเชื่อถือได้และยืดหยุ่น
วิธีที่มีประสิทธิภาพมากที่สุดในการลดความเสี่ยงที่เกี่ยวข้องกับวงในคือซอฟต์แวร์พิเศษที่ใช้การจัดการแบบไดนามิกของอุปกรณ์และพอร์ตทั้งหมดของคอมพิวเตอร์ที่สามารถใช้ในการคัดลอกข้อมูล หลักการของงานของพวกเขาเป็นเช่นนั้น สำหรับแต่ละกลุ่มผู้ใช้หรือสำหรับผู้ใช้แต่ละคนการอนุญาตจะถูกตั้งค่าให้ใช้พอร์ตและอุปกรณ์ต่างๆ ข้อได้เปรียบที่ยิ่งใหญ่ที่สุดของซอฟต์แวร์นี้มีความยืดหยุ่น คุณสามารถป้อนข้อ จำกัด สำหรับอุปกรณ์ประเภทเฉพาะรุ่นและอินสแตนซ์ของแต่ละบุคคล สิ่งนี้ช่วยให้คุณสามารถใช้นโยบายสิทธิ์การเข้าถึงที่ซับซ้อนมาก
ตัวอย่างเช่นพนักงานบางคนสามารถอนุญาตให้คุณใช้เครื่องพิมพ์และสแกนเนอร์ที่เชื่อมต่อกับพอร์ต USB อุปกรณ์ที่เหลือทั้งหมดที่แทรกเข้าไปในพอร์ตนี้จะไม่สามารถเข้าถึงได้ หากใช้ธนาคารในธนาคารระบบการตรวจสอบสิทธิ์แบบโทเค็นในการตั้งค่าคุณสามารถระบุคีย์ที่ใช้ จากนั้นผู้ใช้จะได้รับอนุญาตให้ใช้เฉพาะอุปกรณ์ที่ซื้อโดย บริษัท และคนอื่น ๆ ทั้งหมดจะไร้ประโยชน์
ขึ้นอยู่กับหลักการของการทำงานของระบบป้องกันที่อธิบายไว้ข้างต้นสามารถเข้าใจได้ว่าช่วงเวลาใดมีความสำคัญเมื่อเลือกโปรแกรมที่ใช้การบล็อกแบบไดนามิกของระเบียนและพอร์ตของคอมพิวเตอร์ ก่อนนี่คือความเก่งกาจ ระบบป้องกันควรครอบคลุมทุกสเปกตรัมของพอร์ตที่เป็นไปได้และอุปกรณ์ I / O มิฉะนั้นความเสี่ยงของการขโมยข้อมูลเชิงพาณิชย์ยังคงไม่สามารถยอมรับได้ ประการที่สองต่อไปนี้ควรมีความยืดหยุ่นและอนุญาตให้เราสร้างกฎโดยใช้ข้อมูลที่หลากหลายจำนวนมากเกี่ยวกับอุปกรณ์: ประเภทผู้ผลิตรุ่นตัวเลขที่เป็นเอกลักษณ์ที่มีแต่ละอินสแตนซ์ ฯลฯ อย่างดีระบบการป้องกันภายในอย่างที่สามควรสามารถรวมเข้ากับระบบข้อมูลของธนาคารโดยเฉพาะอย่างยิ่งกับ Active Directory มิฉะนั้นผู้ดูแลระบบหรือเจ้าหน้าที่ของความปลอดภัยจะต้องดำเนินการสองฐานข้อมูลของผู้ใช้และคอมพิวเตอร์ซึ่งไม่เพียง แต่ไม่สะดวก แต่ยังเพิ่มความเสี่ยงของข้อผิดพลาด
มาสรุปกัน
ดังนั้นวันนี้มีผลิตภัณฑ์ในตลาดที่ธนาคารใด ๆ สามารถจัด ระบบที่เชื่อถือได้ การป้องกันข้อมูลจากการเข้าถึงที่ไม่ได้รับอนุญาตและการใช้งานที่ไม่เหมาะสม จริงเมื่อพวกเขาเลือกคุณต้องฉลาดมาก เป็นการดีที่นี่ควรจัดการกับผู้เชี่ยวชาญของตนเองในระดับที่เกี่ยวข้อง อนุญาตให้ใช้ บริษัท ต่างชาติ อย่างไรก็ตามในกรณีนี้สถานการณ์เป็นไปได้เมื่อธนาคารจะถูกกำหนดอย่างชำนาญในซอฟต์แวร์ที่ไม่เพียงพอและเป็นประโยชน์ต่อผู้จัดจำหน่ายของ บริษัท นอกจากนี้ตลาดที่ปรึกษาในประเทศในด้านความปลอดภัยของข้อมูลอยู่ในวัยเด็ก
ในขณะเดียวกันให้เลือกที่เหมาะสมค่อนข้างง่าย มันเพียงพอที่จะอาร์ตมาเกณฑ์ของเราที่ระบุไว้โดยเราและตรวจสอบตลาดระบบความปลอดภัยอย่างรอบคอบ แต่มี "หินใต้น้ำ" ซึ่งต้องจดจำ ในกรณีที่ดีขึ้นระบบรักษาความปลอดภัยข้อมูลของธนาคารจะต้องเป็นหนึ่งเดียวกัน นั่นคือระบบย่อยทั้งหมดควรรวมเข้ากับระบบข้อมูลที่มีอยู่และเป็นที่พึงปรารถนาที่จะมีการจัดการร่วมกัน มิฉะนั้นค่าแรงงานที่เพิ่มขึ้นเป็นสิ่งที่หลีกเลี่ยงไม่ได้สำหรับการคุ้มครองการบริหารและเพิ่มความเสี่ยงเนื่องจากข้อผิดพลาดในการจัดการ ดังนั้นในการสร้างการเสแสร้งทั้งสามที่อธิบายไว้ในวันนี้มันจะดีกว่าที่จะเลือกผลิตภัณฑ์ที่ออกโดยผู้พัฒนาหนึ่งคน วันนี้มี บริษัท ในรัสเซียที่สร้างทุกสิ่งที่จำเป็นเพื่อปกป้องข้อมูลธนาคารจากการเข้าถึงที่ไม่ได้รับอนุญาต
กลยุทธ์ความปลอดภัยของข้อมูลของธนาคารแตกต่างจากกลยุทธ์ที่คล้ายคลึงกันของ บริษัท และองค์กรอื่น ๆ นี่เป็นสาเหตุหลักเนื่องจากลักษณะเฉพาะของภัยคุกคามรวมถึงกิจกรรมสาธารณะของธนาคารที่ถูกบังคับให้สามารถเข้าถึงบัญชีได้อย่างสะดวกสบายเพื่อความสะดวกสบายแก่ลูกค้า
บริษัท ตามปกติสร้างความปลอดภัยของข้อมูลดำเนินการต่อจากวงกลมแคบ ๆ ของภัยคุกคามที่อาจเกิดขึ้นซึ่งส่วนใหญ่เป็นการคุ้มครองข้อมูลจากคู่แข่ง (ในความเป็นจริงของรัสเซียภารกิจหลักคือการปกป้องข้อมูลจาก เจ้าหน้าที่ภาษี และชุมชนอาชญากรรมเพื่อลดโอกาสในการเติบโตของการจ่ายภาษีและ RACETA ที่ไม่สามารถควบคุมได้) ข้อมูลดังกล่าวน่าสนใจเฉพาะกับวงกลมแคบ ๆ ของผู้มีส่วนได้เสียและองค์กรที่สนใจและเป็นของเหลวที่ไม่ค่อยมี ประกอบเป็นรูปแบบทางการเงิน
ความปลอดภัยของข้อมูลของธนาคารจะต้องคำนึงถึงปัจจัยเฉพาะต่อไปนี้:
1. การจัดเก็บและประมวลผลในข้อมูลระบบธนาคารเป็นเงินจริง ขึ้นอยู่กับข้อมูลคอมพิวเตอร์การชำระเงินสามารถชำระเงินให้สินเชื่อเพื่อเปิดแปลจำนวนที่มาก เป็นที่ชัดเจนว่าการจัดการที่ผิดกฎหมายกับข้อมูลดังกล่าวสามารถนำไปสู่การสูญเสียร้ายแรง คุณสมบัตินี้ขยายวงกลมของวงกลมอย่างรวดเร็วในธนาคาร (ตรงกันข้ามกับ บริษัท อุตสาหกรรมข้อมูลภายในเป็นผลประโยชน์เพียงเล็กน้อย)
2. ข้อมูลในระบบธนาคารมีผลต่อผลประโยชน์ของผู้คนและองค์กรจำนวนมาก - ลูกค้าของธนาคาร ตามกฎแล้วมันเป็นความลับและธนาคารมีหน้าที่รับผิดชอบในการให้ความลับที่ต้องการแก่ลูกค้า ตามธรรมชาติแล้วลูกค้ามีสิทธิ์ที่จะคาดหวังว่าธนาคารควรดูแลผลประโยชน์ของพวกเขามิฉะนั้นเขาก็เสี่ยงต่อชื่อเสียงของเขากับผลที่ตามมาทั้งหมดที่เกิดขึ้น
3. ความสามารถในการแข่งขันของธนาคารขึ้นอยู่กับความสะดวกในการทำงานกับธนาคารรวมถึงความกว้างของบริการที่ให้ไว้รวมถึงบริการที่เกี่ยวข้องกับการเข้าถึงระยะไกล ดังนั้นลูกค้าควรสามารถทำได้อย่างรวดเร็วและไม่มีขั้นตอนที่น่าเบื่อในการกำจัดเงินของเขา แต่ความสะดวกในการเข้าถึงเงินจะเพิ่มโอกาสในการเจาะอาชญากรรมในระบบธนาคาร
4. ความปลอดภัยของข้อมูลของธนาคาร (ตรงกันข้ามกับ บริษัท ส่วนใหญ่) ควรมั่นใจในความน่าเชื่อถือสูงของระบบคอมพิวเตอร์แม้ในกรณีที่เกิดเหตุฉุกเฉินเนื่องจากธนาคารมีความรับผิดชอบไม่เพียง แต่สำหรับเงินทุน แต่ยังรวมถึงเงินของลูกค้า
5. ธนาคารร้านค้าข้อมูลสำคัญเกี่ยวกับลูกค้าซึ่งขยายช่วงของผู้บุกรุกที่มีศักยภาพที่สนใจในการโจรกรรมหรือความเสียหายต่อข้อมูลดังกล่าว
อาชญากรรมในภาคธนาคารยังมีลักษณะของตัวเอง:
อาชญากรรมหลายคนที่มุ่งมั่นในทรงจำแนกทางการเงินยังคงไม่รู้จักกับประชาชนทั่วไปเนื่องจากผู้จัดการธนาคารไม่ต้องการที่จะรบกวนผู้ถือหุ้นพวกเขากลัวที่จะเปิดเผยองค์กรของพวกเขาในการโจมตีใหม่กลัวชื่อเสียงของพวกเขาในฐานะคลังสินค้าที่เชื่อถือได้ของกองทุนและ เป็นผลให้การสูญเสียลูกค้า
ตามกฎแล้วผู้โจมตีมักจะใช้บัญชีของตัวเองซึ่งมีการแปลจำนวนเงินที่ถูกลักพาตัว อาชญากรส่วนใหญ่ไม่รู้วิธีการ "ล้าง" เงินที่ถูกขโมย ความสามารถในการก่ออาชญากรรมและความสามารถในการรับเงินไม่ใช่สิ่งเดียวกัน
อาชญากรรมคอมพิวเตอร์ส่วนใหญ่มีขนาดเล็ก ความเสียหายจากพวกเขาอยู่ในช่วงจาก $ 10,000 ถึง $ 50,000
อาชญากรรมคอมพิวเตอร์ที่ประสบความสำเร็จตามกฎต้องใช้การดำเนินงานของธนาคารจำนวนมาก (มากถึงหลายร้อย) อย่างไรก็ตามเงินจำนวนมากสามารถส่งไปและในการทำธุรกรรมเพียงไม่กี่รายการ
ผู้บุกรุกส่วนใหญ่เป็นเสมียน แม้ว่าบุคลากรที่สูงที่สุดของธนาคารก็สามารถก่ออาชญากรรมและทำให้ธนาคารเสียหายได้มากขึ้น - กรณีดังกล่าวเป็นโสด
อาชญากรรมคอมพิวเตอร์ไม่ได้มีเทคโนโลยีสูงเสมอไป มันเพียงพอที่จะถ่ายข้อมูลปลอมการเปลี่ยนแปลงของพารามิเตอร์ของ Asoib Medium ฯลฯ และการดำเนินการเหล่านี้สามารถเข้าถึงได้ทั้งบุคลากรบริการ
ผู้โจมตีหลายคนอธิบายการกระทำของพวกเขาด้วยความจริงที่ว่าพวกเขาคำนึงถึงหนี้โดยธนาคารด้วยผลตอบแทนที่ตามมา อย่างไรก็ตาม "ผลตอบแทน" ตามกฎแล้วไม่เกิดขึ้น
ข้อมูลเฉพาะของการป้องกันระบบอัตโนมัติสำหรับการประมวลผลข้อมูลของธนาคาร (ASOIB) เนื่องจากคุณสมบัติของงานที่แก้ไขโดยพวกเขา:
ASOB มักจะจัดการกระแสการร้องขอที่เข้ามาอย่างต่อเนื่องอย่างต่อเนื่องซึ่งแต่ละอย่างไม่จำเป็นต้องใช้ทรัพยากรจำนวนมาก แต่พวกเขาสามารถรับการรักษาด้วยระบบประสิทธิภาพสูงเท่านั้น
การประมวลผล Asoib และข้อมูลที่เป็นความลับถูกประมวลผลไม่ได้มีไว้สำหรับประชาชนทั่วไป ปลอมหรือการรั่วไหลของมันอาจนำไปสู่ผลที่ร้ายแรง (สำหรับธนาคารหรือลูกค้า) ดังนั้น ASOB ถึงวาระที่จะยังคงปิดค่อนข้างทำงานภายใต้การควบคุมของซอฟต์แวร์เฉพาะและให้ความสำคัญกับความปลอดภัย
คุณสมบัติอื่นของ Asoib คือความต้องการที่เพิ่มขึ้นสำหรับความน่าเชื่อถือของฮาร์ดแวร์และซอฟต์แวร์ โดยอาศัยอำนาจเช่นนี้ Asoib สมัยใหม่จำนวนมากไปยังสถาปัตยกรรมที่ทนทานผิดพลาดของคอมพิวเตอร์ซึ่งทำให้สามารถดำเนินการต่อการประมวลผลข้อมูลอย่างต่อเนื่องแม้ในสภาวะความล้มเหลวและความล้มเหลวต่าง ๆ
คุณสามารถเลือกงานสองประเภทแก้ไข ASOIB:
1. วิเคราะห์ ประเภทนี้รวมถึงงานการวางแผนการวิเคราะห์บัญชี ฯลฯ พวกเขาไม่ได้ดำเนินการและอาจต้องแก้ปัญหาเป็นเวลานานและผลลัพธ์ของพวกเขาอาจส่งผลกระทบต่อนโยบายของธนาคารเกี่ยวกับลูกค้าหรือโครงการที่เฉพาะเจาะจง ดังนั้นระบบย่อยที่ทำงานการวิเคราะห์จะต้องแยกอย่างปลอดภัยจากระบบประมวลผลข้อมูลหลัก ในการแก้ปัญหาดังกล่าวมักจะไม่มีทรัพยากรคอมพิวเตอร์ที่ทรงพลังโดยปกติ 10-20% ของความจุของระบบทั้งหมดมักจะเพียงพอ อย่างไรก็ตามเนื่องจากมูลค่าที่เป็นไปได้ของผลลัพธ์การป้องกันของพวกเขาจะต้องถาวร
2. สบาย ๆ ประเภทนี้รวมถึงงานที่แก้ไขในกิจกรรมประจำวันก่อนอื่นการชำระเงินและการปรับบัญชี มันเป็นพวกเขาที่กำหนดขนาดและความจุของระบบหลักของธนาคาร ในการแก้ปัญหาพวกเขามักจะต้องการทรัพยากรมากขึ้นกว่าการวิเคราะห์ภารกิจ ในเวลาเดียวกันค่าของข้อมูลที่ประมวลผลเมื่อแก้ปัญหาดังกล่าวเป็นเพียงชั่วคราว ค่อย ๆ มูลค่าของข้อมูลตัวอย่างเช่นการชำระเงินใด ๆ จะไม่เกี่ยวข้อง ตามธรรมชาติมันขึ้นอยู่กับปัจจัยหลายประการอย่างใด: จำนวนเงินและเวลาของการชำระเงินหมายเลขบัญชีลักษณะเพิ่มเติม ฯลฯ ดังนั้นจึงมักจะเพียงพอที่จะปกป้องการชำระเงินอย่างแม่นยำในช่วงเวลาของการดำเนินการ ในกรณีนี้การป้องกันของกระบวนการประมวลผลและผลลัพธ์สุดท้ายควรเป็นแบบถาวร
มาตรการในการปกป้องระบบการประมวลผลข้อมูลเป็นที่ต้องการของผู้เชี่ยวชาญต่างประเทศ? คำถามนี้สามารถตอบได้โดยใช้ผลการสำรวจที่จัดทำโดยกลุ่มข้อมูล Datapro ในปี 1994 ของธนาคารและสถาบันการเงิน:
นโยบายความปลอดภัยของข้อมูลสูตรมีผู้ตอบแบบสอบถาม 82% เมื่อเทียบกับปี 1991 เปอร์เซ็นต์ขององค์กรที่มีนโยบายความปลอดภัยเพิ่มขึ้น 13%
อีก 12% ของผู้ตอบแบบสอบถามวางแผนที่จะพัฒนานโยบายความปลอดภัย แนวโน้มต่อไปนี้เด่นชัดชัดเจน: องค์กรที่มีบุคลากรจำนวนมากต้องการมีนโยบายความปลอดภัยที่พัฒนาขึ้นใน มากกว่ากว่าองค์กรที่มีบุคลากรจำนวนน้อย ตัวอย่างเช่นตามการเลือกตั้งนี้เพียง 66% ขององค์กรที่มีจำนวนพนักงานน้อยกว่า 100 คนมีนโยบายความปลอดภัยในขณะที่องค์กรที่มีจำนวนพนักงานมากกว่า 5,000 คนส่วนแบ่งขององค์กรดังกล่าวคือ 99%
ใน 88% ขององค์กรที่มีนโยบายความปลอดภัยของข้อมูลมีแผนกพิเศษที่รับผิดชอบในการดำเนินการ ในองค์กรเหล่านั้นที่ไม่มีหน่วยงานดังกล่าวฟังก์ชั่นเหล่านี้ส่วนใหญ่จะได้รับความไว้วางใจจากผู้ดูแลระบบของระบบ (29%) บนตัวจัดการระบบสารสนเทศ (27%) หรือไปยังบริการรักษาความปลอดภัยทางกายภาพ (25%) ซึ่งหมายความว่ามีแนวโน้มที่จะจัดสรรพนักงานที่รับผิดชอบด้านความปลอดภัยของคอมพิวเตอร์เป็นแผนกพิเศษ
ในแง่ของการป้องกันความสนใจเป็นพิเศษจะจ่ายให้กับการป้องกันเครือข่ายคอมพิวเตอร์ (90%) คอมพิวเตอร์ขนาดใหญ่ (82%) การกู้คืนข้อมูลหลังจากเกิดอุบัติเหตุและภัยพิบัติ (73%) การป้องกันไวรัสคอมพิวเตอร์ (72%) การป้องกัน คอมพิวเตอร์ส่วนบุคคล (69%)
ข้อสรุปต่อไปนี้สามารถวาดได้เกี่ยวกับคุณสมบัติของการปกป้องข้อมูลในระบบการเงินต่างประเทศ:
สิ่งสำคัญในการป้องกันขององค์กรการเงินคือการดำเนินงานและหากเป็นไปได้การกู้คืนข้อมูลอย่างเต็มที่หลังจากเกิดอุบัติเหตุและความล้มเหลว ประมาณ 60% ของผู้ตอบแบบสอบถามขององค์กรทางการเงินมีแผนสำหรับการฟื้นตัวดังกล่าวซึ่งได้รับการแก้ไขเป็นประจำทุกปีในกว่า 80% ของพวกเขา โดยทั่วไปการป้องกันข้อมูลจากการทำลายล้างทำได้โดยการสร้างการสำรองข้อมูลและการจัดเก็บข้อมูลภายนอกการใช้แหล่งจ่ายไฟอย่างต่อเนื่องและองค์กรของสำรองฮาร์ดแวร์ "ร้อน"
ปัญหาต่อไปนี้มีความสำคัญต่อองค์กรทางการเงิน - นี่คือการจัดการการเข้าถึงข้อมูลที่จัดเก็บและประมวลผล มีการใช้ระบบควบคุมการเข้าถึงต่าง ๆ ที่บางครั้งสามารถแทนที่ซอฟต์แวร์ป้องกันไวรัสได้ ใช้ซอฟต์แวร์ควบคุมการเข้าถึงที่ซื้อเป็นหลัก นอกจากนี้ในสถาบันการเงินความสนใจพิเศษจะจ่ายให้กับผู้ใช้ดังกล่าวไปยังเครือข่าย อย่างไรก็ตามการควบคุมการเข้าถึงที่ผ่านการรับรองนั้นหายากมาก (3%) สิ่งนี้สามารถอธิบายได้จากความจริงที่ว่าด้วยซอฟต์แวร์ที่ผ่านการรับรองมันเป็นเรื่องยากที่จะทำงานและมีราคาแพงมากในการดำเนินงาน สิ่งนี้อธิบายได้จากความจริงที่ว่าพารามิเตอร์การรับรองได้รับการพัฒนาโดยคำนึงถึงข้อกำหนดสำหรับระบบทหาร
เกี่ยวกับความแตกต่างในการป้องกันเครือข่ายคอมพิวเตอร์ในสถาบันการเงินรวมถึงการใช้มาตรฐานอย่างกว้างขวาง (เช่นดัดแปลง แต่ไม่ได้รับการออกแบบมาโดยเฉพาะสำหรับองค์กรเฉพาะ) ซอฟต์แวร์เชิงพาณิชย์สำหรับการควบคุมการเข้าถึงเครือข่าย (82%) การป้องกันการเชื่อมต่อจุดกับ ระบบผ่านการสื่อสารสายสลับ (69%) มีแนวโน้มมากที่สุดนี่เป็นเพราะความชุกของการสื่อสารโทรคมนาคมที่มากขึ้นในด้านการเงินและความปรารถนาที่จะป้องกันการรบกวนจากภายนอก วิธีการป้องกันอื่น ๆ เช่นการใช้โปรแกรมป้องกันไวรัสเทอร์มินัลและช่องทางการเข้ารหัสข้อมูลการส่งข้อความการตรวจสอบข้อความมีค่าประมาณเดียวกันและส่วนใหญ่ (ยกเว้นตัวแทนป้องกันไวรัส) น้อยกว่า 50% ขององค์กรที่สำรวจ
ได้รับความสนใจมากในสถาบันการเงินให้กับการคุ้มครองทางกายภาพของสถานที่ที่คอมพิวเตอร์ตั้งอยู่ (ประมาณ 40%) ซึ่งหมายความว่าการป้องกันของคอมพิวเตอร์จากการเข้าถึงบุคคลที่ไม่ได้รับอนุญาตจะได้รับการแก้ไขไม่เพียง แต่ด้วยความช่วยเหลือของซอฟต์แวร์ แต่ยังรวมถึงองค์กรและเทคนิค (ความปลอดภัยล็อครหัส ฯลฯ )
การเข้ารหัสข้อมูลท้องถิ่นใช้โดยมากกว่า 20% ขององค์กรทางการเงิน สาเหตุของเรื่องนี้คือความซับซ้อนของการกระจายของคีย์ข้อกำหนดที่เข้มงวดสำหรับความเร็วของระบบรวมถึงความต้องการการกู้คืนข้อมูลในกรณีที่เกิดความล้มเหลวและความล้มเหลวของอุปกรณ์
ความสนใจน้อยลงอย่างมีนัยสำคัญในองค์กรการเงินได้รับการคุ้มครองสายโทรศัพท์สื่อสารทางโทรศัพท์ (4%) และการใช้คอมพิวเตอร์ที่พัฒนาโดยคำนึงถึงข้อกำหนดของมาตรฐาน Tempest (การป้องกันการรั่วไหลของข้อมูลผ่านช่องทาง Electromagnetic Emission และเคล็ดลับ) ในหน่วยงานราชการการแก้ปัญหาการตอบสนองโดยใช้การปล่อยมลพิษทางแม่เหล็กไฟฟ้าและการยื่นจ่ายให้ความสนใจมากขึ้น
การวิเคราะห์สถิติช่วยให้คุณได้ข้อสรุปที่สำคัญ: การคุ้มครองขององค์กรทางการเงิน (รวมถึงธนาคาร) ค่อนข้างแตกต่างจากองค์กรการค้าและรัฐทั่วไป ดังนั้นการป้องกัน ASOB จึงไม่สามารถนำไปใช้กับโซลูชันทางเทคนิคและองค์กรเดียวกันที่ได้รับการพัฒนาสำหรับสถานการณ์มาตรฐาน เป็นไปไม่ได้ที่จะคัดลอกระบบของคนอื่นอย่างไร้ความสนใจ - พวกเขาถูกออกแบบมาสำหรับเงื่อนไขอื่น ๆ
นับตั้งแต่ปรากฏตัวของธนาคารได้ก่อให้เกิดความสนใจจากโลกอาชญากรอย่างต่อเนื่อง และความสนใจนี้ไม่ได้เกี่ยวข้องกับการจัดเก็บในสถาบันสินเชื่อของกองทุน แต่ยังรวมถึงความจริงที่ว่าธนาคารมุ่งเน้นที่สำคัญและมักจะมีความลับเกี่ยวกับกิจกรรมทางการเงินและเศรษฐกิจของหลาย ๆ คน บริษัท องค์กรและทั้งรัฐ ปัจจุบันความลับของธนาคารได้รับการคุ้มครองตามกฎหมายพร้อมกับความลับของรัฐ
ในการเชื่อมต่อกับข้อมูลสากลและคอมพิวเตอร์ของกิจกรรมการธนาคารความสำคัญของความปลอดภัยของข้อมูลของธนาคารเพิ่มขึ้นซ้ำ ๆ อีก 30 ปีที่แล้ววัตถุของการโจมตีข้อมูลคือข้อมูลเกี่ยวกับลูกค้าของธนาคารหรือกิจกรรมของธนาคารเอง การโจมตีดังกล่าวหายากวงกลมของลูกค้าของพวกเขาแคบมากและความเสียหายอาจมีความสำคัญเฉพาะในกรณีพิเศษ ในปัจจุบันอันเป็นผลมาจากการกระจายอย่างกว้างขวางของการชำระเงินทางอิเล็กทรอนิกส์บัตรพลาสติกเครือข่ายคอมพิวเตอร์วัตถุของการโจมตีข้อมูลได้กลายเป็นโดยตรง เงินสด ทั้งธนาคารและลูกค้าของพวกเขา ความพยายามที่จะประดับประดาทุกคน - การปรากฏตัวของคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ตเท่านั้น และสำหรับสิ่งนี้ไม่จำเป็นต้องเจาะผ่านธนาคารคุณสามารถ "ทำงาน" และหลายพันกิโลเมตรจากมัน
บริการที่ธนาคารจัดทำขึ้นในวันนี้ส่วนใหญ่ขึ้นอยู่กับการใช้งานปฏิสัมพันธ์ทางอิเล็กทรอนิกส์ของธนาคารในหมู่ตัวเองธนาคารและลูกค้าและคู่ค้าของพวกเขา ขณะนี้การเข้าถึงธนาคารได้กลายเป็นไปได้จากจุดห่างไกลต่าง ๆ รวมถึงเทอร์มินัลบ้านและคอมพิวเตอร์บริการ ความจริงข้อนี้ทำให้เกิดการย้ายออกจากแนวคิดของ "ประตูที่ล็อค" ซึ่งเป็นลักษณะของธนาคารในปี 1960 เมื่อคอมพิวเตอร์ถูกนำมาใช้ในกรณีส่วนใหญ่ในโหมดแบทช์เป็นความช่วยเหลือและไม่มีการเชื่อมต่อกับโลกภายนอก
ระบบคอมพิวเตอร์ที่ไม่มีธนาคารที่ทันสมัยสามารถทำได้ - แหล่งที่มาของภัยคุกคามที่ไม่รู้จักก่อนหน้านี้อย่างสมบูรณ์ ส่วนใหญ่เกิดจากการใช้งาน ธุรกิจธนาคาร เทคโนโลยีสารสนเทศใหม่และมีลักษณะเฉพาะสำหรับธนาคารเท่านั้น
ระดับอุปกรณ์ในระบบอัตโนมัติโดยใช้งานอัตโนมัติมีบทบาทสำคัญในกิจกรรมของธนาคารและดังนั้นสะท้อนโดยตรงในตำแหน่งและรายได้ การเพิ่มความเข้มแข็งการแข่งขันระหว่างธนาคารนำไปสู่ความจำเป็นในการลดเวลาในการผลิตการคำนวณการเพิ่มขึ้นของการตั้งชื่อและปรับปรุงคุณภาพของบริการที่ให้ไว้
เวลาที่น้อยลงการคำนวณระหว่างธนาคารและลูกค้าจะใช้อัตราการหมุนเวียนของธนาคารที่สูงขึ้นและดังนั้นกำไร นอกจากนี้ธนาคารจะตอบสนองต่อการเปลี่ยนแปลงสถานการณ์ทางการเงินอย่างรวดเร็วยิ่งขึ้น ความหลากหลายของบริการธนาคาร (ก่อนอื่นสิ่งนี้หมายถึงความเป็นไปได้ของการชำระเงินที่ไม่ใช่เงินสดระหว่างธนาคารและลูกค้าโดยใช้บัตรพลาสติก) สามารถเพิ่มจำนวนลูกค้าได้อย่างมีนัยสำคัญและเป็นผลให้เพิ่มผลกำไร ในเวลาเดียวกันธนาคาร ABS กลายเป็นหนึ่งในสถานที่ที่มีช่องโหว่ที่สุดในองค์กรทั้งหมดที่ดึงดูดผู้บุกรุกจากภายนอกและจากพนักงานของธนาคารเอง เพื่อป้องกันตัวเองและลูกค้าของพวกเขาธนาคารส่วนใหญ่กำลังทำการป้องกันที่จำเป็นรวมถึงการปกป้อง ABS ใช้เวลาหนึ่งในสถานที่ที่สำคัญที่สุด การป้องกันธนาคาร ABS เป็นเหตุการณ์ที่มีราคาแพงและซับซ้อนไม่เพียง แต่ต้องลงทุนครั้งเดียวที่สำคัญ แต่ให้ค่าใช้จ่ายในการสนับสนุนระบบการป้องกันในระดับที่เหมาะสม โดยเฉลี่ยแล้วธนาคารในขณะนี้เพื่อสนับสนุนการป้องกันในระดับที่เพียงพอใช้จ่ายมากกว่า $ 20 ล้านต่อปี
กลยุทธ์ความปลอดภัยของข้อมูลของธนาคารแตกต่างจากกลยุทธ์ที่คล้ายคลึงกันของ บริษัท และองค์กรอื่น ๆ นี่เป็นสาเหตุหลักเนื่องจากลักษณะเฉพาะของภัยคุกคามรวมถึงกิจกรรมสาธารณะของธนาคารที่ถูกบังคับให้สามารถเข้าถึงบัญชีได้อย่างสะดวกสบายเพื่อความสะดวกสบายแก่ลูกค้า
บริษัท ปกติสร้างความปลอดภัยของข้อมูลที่ดำเนินการต่อจากวงกลมที่มีศักยภาพแคบ ๆ เท่านั้น - ส่วนใหญ่เป็นการคุ้มครองข้อมูลจากคู่แข่ง (ในความเป็นจริงของรัสเซียภารกิจหลักคือการปกป้องข้อมูลจากหน่วยงานภาษีและชุมชนอาชญากรรมเพื่อลดโอกาสในการ การเติบโตของการจ่ายภาษีและการแข่งขันที่ไม่สามารถควบคุมได้) ข้อมูลดังกล่าวเป็นที่น่าสนใจเฉพาะกับวงกลมแคบ ๆ ของผู้มีส่วนได้เสียและองค์กรและเป็นของเหลวที่ไม่ค่อยเกิดขึ้นนั่นคือการกลายเป็นรูปแบบทางการเงิน
7.2 ข้อกำหนดด้านความปลอดภัยของข้อมูลธนาคาร
ความปลอดภัยของข้อมูลของธนาคารจะต้องคำนึงถึงปัจจัยเฉพาะต่อไปนี้:
- การจัดเก็บและประมวลผลในข้อมูลระบบธนาคารเป็นเงินจริง ขึ้นอยู่กับข้อมูลคอมพิวเตอร์การชำระเงินสามารถชำระเงินให้สินเชื่อเพื่อเปิดแปลจำนวนที่มาก เป็นที่ชัดเจนว่าการจัดการที่ผิดกฎหมายกับข้อมูลดังกล่าวสามารถนำไปสู่การสูญเสียร้ายแรง คุณสมบัตินี้ขยายวงกลมของวงกลมอย่างรวดเร็วในธนาคาร (เมื่อเทียบกับ บริษัท อุตสาหกรรมข้อมูลภายในที่มีน้อยบางคนที่มีความสนใจ)
- ข้อมูลในระบบธนาคารมีผลกระทบต่อผลประโยชน์ของผู้คนและองค์กรจำนวนมาก - ลูกค้าธนาคาร ตามกฎแล้วมันเป็นความลับและธนาคารมีหน้าที่รับผิดชอบในการให้ความลับที่ต้องการแก่ลูกค้า ตามธรรมชาติแล้วลูกค้ามีสิทธิ์ที่จะคาดหวังว่าธนาคารควรดูแลผลประโยชน์ของพวกเขามิฉะนั้นเขาก็เสี่ยงต่อชื่อเสียงของเขากับผลที่ตามมาทั้งหมดที่เกิดขึ้น
- ความสามารถในการแข่งขันของธนาคารขึ้นอยู่กับความสะดวกในการทำงานกับธนาคารเช่นเดียวกับความกว้างของบริการที่มีให้รวมถึงบริการที่เกี่ยวข้องกับการเข้าถึงระยะไกล ดังนั้นลูกค้าควรสามารถทำได้อย่างรวดเร็วและไม่มีขั้นตอนที่น่าเบื่อในการกำจัดเงินของเขา แต่ความสะดวกในการเข้าถึงเงินจะเพิ่มโอกาสในการเจาะอาชญากรรมในระบบธนาคาร
- ความปลอดภัยของข้อมูลของธนาคาร (ตรงกันข้ามกับ บริษัท ส่วนใหญ่) ควรมีความน่าเชื่อถือสูงของระบบคอมพิวเตอร์แม้ในกรณีที่เกิดเหตุฉุกเฉินเนื่องจากธนาคารมีความรับผิดชอบไม่เพียง แต่สำหรับเงินเท่านั้น แต่ยังสำหรับเงินของลูกค้า
- ธนาคารข้อมูลสำคัญเกี่ยวกับลูกค้าซึ่งขยายช่วงของผู้บุกรุกที่มีศักยภาพที่สนใจในการโจรกรรมหรือความเสียหายต่อข้อมูลดังกล่าว
อาชญากรรมในภาคธนาคารยังมีลักษณะของตัวเอง:
- อาชญากรรมหลายคนที่กระทำผิดในภาคการเงินยังคงไม่ทราบต่อประชาชนทั่วไปเนื่องจากความจริงที่ว่าหัวหน้าธนาคารไม่ต้องการรบกวนผู้ถือหุ้นพวกเขากลัวที่จะรับการจัดตั้งองค์กรเพื่อการโจมตีใหม่กลัวชื่อเสียงของพวกเขาในฐานะคลังสินค้าที่เชื่อถือได้ของกองทุน และเป็นผลให้การสูญเสียลูกค้า
- ตามกฎแล้วผู้โจมตีใช้บัญชีของตนเองที่มีการแปลจำนวนที่ถูกลักพาตัว อาชญากรส่วนใหญ่ไม่รู้วิธีการ "ล้าง" เงินที่ถูกขโมย ความสามารถในการก่ออาชญากรรมและความสามารถในการรับเงินไม่ใช่สิ่งเดียวกัน
- อาชญากรรมคอมพิวเตอร์ส่วนใหญ่มีขนาดเล็ก ความเสียหายจากพวกเขาอยู่ในช่วงจาก $ 10,000 ถึง 50,000
- อาชญากรรมคอมพิวเตอร์ที่ประสบความสำเร็จตามกฎต้องใช้การดำเนินงานของธนาคารจำนวนมาก (มากถึงหลายร้อย) อย่างไรก็ตามเงินจำนวนมากสามารถส่งไปและในการทำธุรกรรมเพียงไม่กี่รายการ
- ผู้โจมตีส่วนใหญ่เป็นพนักงานของธนาคารระดับต่ำเสมียน แม้ว่าบุคลากรที่สูงที่สุดของธนาคารก็สามารถก่ออาชญากรรมและทำให้ธนาคารเสียหายได้มากขึ้น - กรณีดังกล่าวเป็นโสด
- อาชญากรรมคอมพิวเตอร์ไม่ได้มีเทคโนโลยีสูงเสมอไป มันเพียงพอที่จะรับข้อมูลการเปลี่ยนแปลงของพารามิเตอร์ของสื่อ ABS ฯลฯ และการดำเนินการเหล่านี้มีอยู่และบุคลากรบริการ
- ผู้โจมตีหลายคนอธิบายการกระทำของพวกเขาด้วยความจริงที่ว่าพวกเขาคำนึงถึงหนี้โดยธนาคารด้วยผลตอบแทนที่ตามมา อย่างไรก็ตาม "ผลตอบแทน" ตามกฎแล้วไม่เกิดขึ้น
ข้อมูลเฉพาะของการป้องกันระบบอัตโนมัติสำหรับการประมวลผลข้อมูลของธนาคาร (ABS) เนื่องจากคุณสมบัติของงานที่ได้รับการแก้ไขโดยพวกเขา:
- ABS จัดการกับการร้องขอที่เข้ามาอย่างต่อเนื่องในแบบเรียลไทม์ซึ่งแต่ละอย่างไม่จำเป็นต้องจัดการทรัพยากรจำนวนมาก แต่สามารถประมวลผลได้ด้วยระบบประสิทธิภาพสูงเท่านั้น
- ใน ABS ข้อมูลที่เป็นความลับถูกเก็บไว้และดำเนินการไม่ได้มีไว้สำหรับประชาชนทั่วไป ปลอมหรือการรั่วไหลของมันอาจนำไปสู่ผลที่ร้ายแรง (สำหรับธนาคารหรือลูกค้า) ดังนั้น ABS ถึงวาระที่จะยังคงปิดค่อนข้างทำงานภายใต้การควบคุมของซอฟต์แวร์เฉพาะและให้ความสำคัญกับความปลอดภัยของพวกเขา
- คุณสมบัติอื่นของ ABS คือข้อกำหนดที่เพิ่มขึ้นสำหรับความน่าเชื่อถือของฮาร์ดแวร์และซอฟต์แวร์ ดังนั้น ABS ที่ทันสมัยส่วนใหญ่ถูกสร้างขึ้นโดยใช้สถาปัตยกรรมเครือข่ายคอมพิวเตอร์ที่ทนทานต่อความสามารถในการประมวลผลข้อมูลอย่างต่อเนื่องแม้ในสภาวะของความล้มเหลวและความล้มเหลวต่าง ๆ
คุณสามารถเลือกงานสองประเภทแก้ไข ABS:
- วิเคราะห์ ประเภทนี้รวมถึงงานของการวางแผนการวิเคราะห์บัญชี ฯลฯ พวกเขาไม่ได้ดำเนินการและอาจต้องแก้ปัญหาเป็นเวลานานและผลลัพธ์ของพวกเขาอาจส่งผลกระทบต่อนโยบายของธนาคารเกี่ยวกับลูกค้าหรือโครงการโดยเฉพาะ ดังนั้นระบบย่อยที่มีการแก้ไขงานที่มีการวิเคราะห์ควรจะแยกอย่างปลอดภัยจากระบบการประมวลผลข้อมูลหลักและนอกจากนี้เนื่องจากมูลค่าที่เป็นไปได้ของผลลัพธ์การป้องกันของพวกเขาจะต้องถาวร
- การดำเนินงาน ประเภทนี้รวมถึงงานที่แก้ไขในกิจกรรมประจำวันก่อนอื่นการชำระเงินและการปรับบัญชี มันเป็นพวกเขาที่กำหนดขนาดและความจุของระบบหลักของธนาคาร ในการแก้ปัญหาพวกเขามักจะต้องการทรัพยากรมากขึ้นกว่าการวิเคราะห์ภารกิจ ในเวลาเดียวกันค่าของข้อมูลที่ประมวลผลเมื่อแก้ปัญหาดังกล่าวเป็นเพียงชั่วคราว ค่อยๆมูลค่าของข้อมูลเช่นการดำเนินการชำระเงินใด ๆ จะไม่เกี่ยวข้อง โดยธรรมชาติแล้วมันขึ้นอยู่กับปัจจัยหลายประการ: จำนวนเงินและเวลาของการชำระเงินจำนวนบัญชีลักษณะเพิ่มเติม ฯลฯ ดังนั้นจึงมักจะเพียงพอที่จะให้การคุ้มครองการชำระเงินอย่างแม่นยำในช่วงเวลาของการดำเนินการอย่างแม่นยำ ในกรณีนี้การป้องกันของกระบวนการประมวลผลและผลลัพธ์สุดท้ายควรเป็นแบบถาวร
7.3 วิธีการป้องกันข้อมูลในระบบประมวลผลข้อมูลอัตโนมัติ
ภายใต้การคุ้มครองข้อมูลในระบบสารสนเทศ (IP) หมายถึงการใช้เงินทุนและวิธีการอย่างสม่ำเสมอในการใช้มาตรการและการดำเนินการตามมาตรการเพื่อรองรับระบบที่ต้องการความน่าเชื่อถือที่จำเป็นของข้อมูลที่จัดเก็บและประมวลผล ความน่าเชื่อถือของข้อมูล - ตัวบ่งชี้อินทิกรัลที่ระบุคุณภาพของข้อมูลจากมุมมองของความสมบูรณ์ทางกายภาพ (ขาดการบิดเบือนหรือการทำลายองค์ประกอบของข้อมูล) ความเชื่อมั่นในข้อมูล (ความเชื่อมั่นในกรณีที่ไม่มีการทดแทน) และความปลอดภัย - การขาดใบเสร็จรับเงินที่ไม่ได้รับอนุญาต และการคัดลอก
ส่วนประกอบความปลอดภัยของข้อมูลอินทิกรัล:
- มาตรการรักษาความปลอดภัยขององค์กร
- มาตรการรักษาความปลอดภัย: การป้องกันและการคุ้มครองอาคารสถานที่คอมพิวเตอร์ขนส่งด้วยเอกสาร ฯลฯ
- สร้างความมั่นใจในความปลอดภัยของฮาร์ดแวร์: สร้างความมั่นใจในการทำงานที่เชื่อถือได้ของคอมพิวเตอร์และอุปกรณ์เครือข่าย
- สร้างความมั่นใจในความปลอดภัยของช่องทางการสื่อสาร: การคุ้มครองช่องทางการสื่อสารจากอิทธิพลภายนอก
- การให้บริการด้านความปลอดภัยและการสนับสนุนทางคณิตศาสตร์: การป้องกันไวรัสแฮกเกอร์โปรแกรมที่เป็นอันตรายที่ถือข้อมูลที่เป็นความลับ
เป็นที่ทราบกันดีว่า 80% ของอาชญากรรมที่เกี่ยวข้องกับการโจรกรรมความเสียหายหรือการบิดเบือนข้อมูลที่กระทำโดยมีส่วนร่วมของพนักงานของ บริษัท ดังนั้นงานที่สำคัญที่สุดของความเป็นผู้นำฝ่ายบริการบุคลากรและบริการรักษาความปลอดภัยจึงเป็นการคัดเลือกอย่างรอบคอบของพนักงานการกระจายอำนาจและการก่อสร้างระบบการรับเข้าสู่องค์ประกอบของข้อมูลรวมถึงการควบคุมวินัยและพฤติกรรมของ พนักงานสร้างภูมิทัศน์ทางศีลธรรมที่ดีในทีม
หมายถึงองค์กรหมายถึง การคุ้มครองข้อมูลเป็นกิจกรรมพิเศษขององค์กรและด้านเทคนิคและกฎหมายที่ดำเนินการในกระบวนการสร้างและดำเนินงานระบบที่รวมการป้องกันข้อมูล
เป็นนิติบัญญัติเครื่องมือป้องกันข้อมูลถูกกำหนดให้เป็นกฎหมายการกระทำที่ควบคุมขั้นตอนการใช้งานและการประมวลผลข้อมูลข้อ จำกัด การเข้าถึงและการกำหนดความรับผิดชอบและการลงโทษในการละเมิดกฎเหล่านี้
วิธีการทางเทคนิค แบ่งออกเป็น ทางกายภาพ (ล็อค, lattices, ระบบส่งสัญญาณ, ฯลฯ ) และ ฮาร์ดแวร์(ล็อคการล็อคการเตือนภัยและอุปกรณ์อื่น ๆ ที่ใช้โดยตรงกับวิธีการของเทคโนโลยีการคำนวณและข้อมูลหมายถึง) ซอฟต์แวร์ การป้องกันข้อมูลเป็นเครื่องมือป้องกันข้อมูลพิเศษที่สร้างขึ้นในซอฟต์แวร์ระบบและเป็นอิสระหรือในคอมเพล็กซ์ด้วยวิธีการอื่นในการปกป้องข้อมูลในระบบ
ซอฟต์แวร์เครื่องมือความปลอดภัยของข้อมูล:
- ซอฟต์แวร์ การระบุตัวตนของผู้ใช้ และการกำหนดอำนาจของพวกเขา
- ซอฟต์แวร์ การระบุเทอร์มินัล.
- ซอฟต์แวร์ การป้องกันไฟล์.
- ซอฟต์แวร์ การป้องกันระบบปฏิบัติการ, คอมพิวเตอร์ และโปรแกรมผู้ใช้
- โปรแกรมเสริมเพื่อวัตถุประสงค์ต่าง ๆ
การเข้ารหัสหมายถึงการเข้ารหัส ความปลอดภัยของข้อมูล - วิธีการเข้ารหัสพิเศษการเข้ารหัสหรือการแปลงข้อมูลอื่น ๆ เป็นผลมาจากเนื้อหาที่ไม่สามารถเข้าถึงได้โดยไม่ต้องแสดงข้อมูลพิเศษบางอย่างและการแปลงแบบย้อนกลับ การใช้วิธีการเข้ารหัสลับมีความเกี่ยวข้องโดยเฉพาะอย่างยิ่งในการเชื่อมต่อกับการถ่ายโอนข้อมูลสาธารณะการทหารเชิงพาณิชย์และเอกชนในเครือข่ายเปิด เนื่องจากค่าใช้จ่ายสูงของความเสียหายจากการสูญเสียการเปิดเผยข้อมูลและการบิดเบือนข้อมูลที่เก็บไว้ในฐานข้อมูลและส่งผ่านเครือข่ายท้องถิ่นขอแนะนำให้จัดเก็บและส่งข้อมูลในรูปแบบที่เข้ารหัส
ระบบการเข้ารหัส- อัลกอริทึมการแปลงข้อความแบบเปิดใน Ciphertext
ตัวอักษร- ชุดสุดท้ายที่ใช้สำหรับการเข้ารหัสข้อมูลข้อมูล เป็นตัวอย่างของตัวอักษรที่ใช้ในระบบข้อมูลที่ทันสมัยสามารถนำสิ่งต่อไปนี้:
- ตัวอักษร Z33 - 32 ตัวอักษรของตัวอักษรและอวกาศรัสเซีย
- alphabet Z256 - สัญลักษณ์รวมอยู่ในรหัส ASCII มาตรฐาน
- อักษรไบนารี - Z2 \u003d (0,1)
การเข้ารหัสเกี่ยวข้องกับการแปลงข้อความต้นฉบับโดยใช้ปุ่มไปยังข้อความที่เข้ารหัส T สำคัญ- องค์ประกอบตัวเลขที่เปลี่ยนได้ซึ่งถูกนำไปใช้ในการเข้ารหัสข้อความที่เฉพาะเจาะจง เมื่อการเข้ารหัสแนวคิดของ "Cipher Gamma" ใช้ - นี่คือลำดับตัวเลขหลอกแบบสุ่มที่สร้างขึ้นโดยอัลกอริทึมที่กำหนดเพื่อเข้ารหัสข้อมูลเปิดและถอดรหัส cipherograms
โดยลักษณะของการใช้งานของกุญแจ cryptosystems ที่รู้จักสามารถแบ่งออกเป็นสองประเภท: สมมาตร (ของแข็งมีคีย์ลับ) และ ไม่สมมาตร(ปุ่มเปิด)
ในกรณีแรกคีย์เดียวกันนี้ใช้ในตัวเข้ารหัสผู้ส่งและตัวถอดรหัสผู้รับ ตัวเข้ารหัสเป็นรหัส cipherogram ที่เป็นฟังก์ชั่นของข้อความที่เปิดอยู่มุมมองเฉพาะของฟังก์ชั่นการเข้ารหัสจะถูกกำหนดโดยรหัสลับ ตัวถอดรหัสผู้รับข้อความดำเนินการเปลี่ยนแปลงแบบย้อนกลับในลักษณะเดียวกัน รหัสลับถูกเก็บไว้ในความลับและถูกส่งโดยผู้ส่งข้อความไปยังผู้รับผ่านช่องทางที่ได้รับการป้องกันซึ่งไม่รวมการสกัดกั้นของคีย์ของ Cryptanalitics ของคู่ต่อสู้
การเข้ารหัสดำเนินการโดยวิธีการทดแทนและการเปลี่ยนแปลง การเข้ารหัสที่ง่ายที่สุด แต่ไม่สามารถแยกย่อยได้ - ด้วยการเปลี่ยนสัญลักษณ์ข้อความเป็นอักขระหรือตัวเลขสุ่ม ในกรณีนี้ความยาวคีย์จะต้องตรงกับความยาวของข้อความซึ่งไม่สะดวกที่มีข้อมูลจำนวนมาก กุญแจจะถูกใช้ครั้งเดียวจากนั้นจะถูกทำลายดังนั้นวิธีนี้เรียกว่า "การเข้ารหัสด้วย Notepad ฉีกขาด"
ในความเป็นจริงการเข้ารหัสทำขึ้นในรหัสไบนารีโดยใช้ปุ่มสั้น ๆ - ในมาตรฐานสากล DES (มาตรฐานการเข้ารหัสข้อมูล) ซึ่งทำงานร่วมกับ 64 ไบต์ 64 บล็อกข้อมูล (1998) ใน GOST 28147 - 89 - 256 ไบต์ซึ่งให้การเข้ารหัสที่มากขึ้นอย่างมีนัยสำคัญ . ขึ้นอยู่กับปุ่มสั้น ๆ คอมพิวเตอร์สร้างคีย์คีย์ยาวโดยใช้หนึ่งในอัลกอริธึมหลายรายการที่ระบุไว้ในมาตรฐานการเข้ารหัส DES หรือ GOST อัลกอริทึมสำหรับการสร้าง Gamma - Gamming นั้นขึ้นอยู่กับชุดของการเปลี่ยนและการเลื่อนมันเป็นไปได้โดยใช้ ciphertext อัลกอริทึมการเข้ารหัสไม่เป็นความลับเพียงคีย์เท่านั้นที่หลั่ง เพื่อแจกจ่ายคีย์คีย์ การใช้งานทั่วไป ใช้เทคโนโลยีต่อไปนี้: แป้นอันดับแรกจะถูกส่งผ่านบริการจัดส่งสินค้าพวกเขาจะถูกเข้ารหัสและส่งผ่านเครือข่ายของพวกเขาคีย์อันดับที่สองที่ใช้ในการเข้ารหัสเอกสาร
ระบบการเข้ารหัสที่ทันสมัยที่สุดใช้อัลกอริทึมแบบอสมมาตรด้วยปุ่มเปิดและเป็นความลับซึ่งไม่มีปัญหาการขนส่งที่ปลอดภัยของกุญแจ ระบบดังกล่าวรวมถึงอัลกอริทึม RSA ที่เรียกว่านักพัฒนา (Rivest-Shamir-Adleman - นักพัฒนาของระบบนี้ Ronald Rivest, Adi Shamir และ Leonard Admenoman, 1977) ขึ้นอยู่กับการขยายตัวของตัวเลขจำนวนมากในตัวคูณ
ใน cryptosystems ไม่สมมาตร (เปิด Cryptosystems ที่สำคัญ) ในอัลกอริทึมการเข้ารหัสและถอดรหัสคีย์ต่าง ๆ จะใช้แต่ละอันไม่สามารถรับได้จากอื่น ๆ ที่มีค่าใช้จ่ายที่ยอมรับได้ของทรัพยากรชั่วคราวและอื่น ๆ ปุ่มเดียวเปิด - ใช้ในการเข้ารหัสข้อมูล, อื่น ๆ เป็นความลับ - สำหรับการถอดรหัส, I.e. อ่านข้อความสามารถเพียงหนึ่งถึงใครที่มีจุดประสงค์เช่นหัวของ บริษัท ที่ได้รับข้อความจากตัวแทนจำนวนมาก
ระบบลายเซ็นอิเล็กทรอนิกส์ขึ้นอยู่กับการเข้ารหัสแบบอสมมาตร แต่คีย์ลับจะถูกเก็บไว้ที่ผู้ส่งข้อความและคีย์เปิดที่สร้างขึ้นบนพื้นฐานของความลับของการเปลี่ยนแปลงทางคณิตศาสตร์หลายคนมี สามารถถ่ายโอนกุญแจสาธารณะได้ด้วยข้อความ แต่ในกรณีนี้ข้อความจะไม่ถูกเข้ารหัสและฟังก์ชันแฮชที่ได้รับจากข้อความโดยการแปลงเป็นอัลกอริทึมเฉพาะและครอบครองเพียงไม่กี่ไบต์ เปลี่ยนอย่างน้อยหนึ่งบิตในข้อความข้อความนำไปสู่การเปลี่ยนแปลงที่สำคัญในฟังก์ชั่นแฮช ผู้รับข้อความสามารถถอดรหัสฟังก์ชั่นแฮชที่เข้ารหัสส่งข้อความให้สร้างฟังก์ชั่นแฮชของข้อความที่ได้รับโดยใช้อัลกอริทึมที่รู้จักกันดีและเปรียบเทียบฟังก์ชั่นแฮชที่ถอดรหัสและสร้างใหม่ได้ ความบังเอิญของพวกเขารับประกันความสมบูรณ์ของเอกสารที่ได้รับ I.e ไม่มีการบิดเบือนในนั้น ผู้รับไม่สามารถเปลี่ยนแปลงเอกสารที่ได้รับเนื่องจากไม่สามารถเข้ารหัสฟังก์ชันแฮชใหม่ ดังนั้นลายเซ็นอิเล็กทรอนิกส์จึงมีอำนาจตามกฎหมายเช่นเดียวกับลายเซ็นปกติและการพิมพ์บนกระดาษ Secret and Open Keys โปรแกรมและอุปกรณ์สำหรับระบบลายเซ็นอิเล็กทรอนิกส์จัดหา FSB ที่ได้รับอนุญาตจาก บริษัท ซึ่งหากจำเป็นสามารถส่งสำเนาของกุญแจไปยังศาล
มีวิธีการป้องกันหลักสองวิธี: ซอฟต์แวร์และฮาร์ดแวร์ วิธีการป้องกันซอฟต์แวร์นั้นดีในราคาที่ค่อนข้างต่ำคุณสามารถรับโปรแกรมที่ทำให้มั่นใจได้ถึงความน่าเชื่อถือที่ต้องการของการจัดเก็บข้อมูล แต่เครื่องมือซอฟต์แวร์มีข้อเสียที่สำคัญหลายอย่างซึ่งควรเป็นที่รู้จักเมื่อเลือกเส้นทางนี้:
- โดยทั่วไปทำงานฮาร์ดแวร์ช้ากว่า;
- สามารถเปิดโปรแกรมใดก็เป็นเพียงเรื่องของเวลาและคุณสมบัติของผู้เชี่ยวชาญ
- เมื่อสื่อถูกยักยอกโปรแกรมถูกลักพาตัว
ฮาร์ดแวร์ยังมีข้อบกพร่องจำนวนหนึ่ง: การพัฒนาของพวกเขามีราคาแพงกว่าค่าใช้จ่ายในการผลิตและการบำรุงรักษาระบบฮาร์ดแวร์มีความซับซ้อนมากขึ้นและยังต้องใช้ซอฟต์แวร์นอกเหนือจากฮาร์ดแวร์
แต่ข้อดีของการใช้ฮาร์ดแวร์ที่ชัดเจน:
- ทำงานได้อย่างรวดเร็วโดยไม่มีทรัพยากรระบบ
- มันเป็นไปไม่ได้ที่จะเจาะโปรแกรมฮาร์ดแวร์โดยไม่ต้องยักยอก
- ไม่มีฮาร์ดแวร์มันเป็นไปไม่ได้ที่จะถอดรหัสข้อมูลที่ได้รับการป้องกัน
7.4 การกระทำทางกฎหมายในด้านการคุ้มครองข้อมูล
รัสเซียใช้มาตรการในการเคาน์เตอร์อาวุธข้อมูลและอาชญากรรมคอมพิวเตอร์ ในรัฐดูมาของสหพันธรัฐรัสเซียมีกลุ่มรอง "รัสเซียรัสเซีย" โต๊ะกลมสำหรับความปลอดภัยของข้อมูลจะถูกจัดขึ้นเพื่อพัฒนากฎหมายที่เกี่ยวข้อง กฎหมายของสหพันธรัฐรัสเซีย "เกี่ยวกับความปลอดภัย", กฎหมาย "บนลายเซ็นอิเล็กทรอนิกส์" และ "เกี่ยวกับข้อมูลการป้องกันข้อมูลและการป้องกันข้อมูล" ซึ่งกำหนดว่าข้อมูลอาจมีการป้องกันรวมถึงทรัพย์สินวัสดุของเจ้าของ บทบัญญัติของการส่งข้อมูลที่ปลอดภัยของข้อมูลรัฐบาลได้รับการว่าจ้างใน Fapsi ตอนนี้ FSB และ FSO การคุ้มครองข้อมูลเชิงพาณิชย์ - บริษัท ที่มีใบอนุญาต FSB เอกสารแนะแนวของคณะกรรมาธิการรัฐของรัฐของสหพันธรัฐรัสเซีย "ระบบอัตโนมัติได้รับการพัฒนาแล้ว การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การจำแนกระบบอัตโนมัติและข้อกำหนดสำหรับการปกป้องข้อมูล»และมาตรฐานของรัฐบาลที่เกี่ยวข้อง:
gost 28147-89 ระบบประมวลผลข้อมูล การป้องกันการเข้ารหัส อัลกอริทึมการเปลี่ยนแปลงการเข้ารหัส
gost r 34. 10-94 เทคโนโลยีสารสนเทศ การป้องกันข้อมูลการเข้ารหัส ขั้นตอนการพัฒนาและตรวจสอบลายเซ็นดิจิทัลอิเล็กทรอนิกส์ตามอัลกอริทึมการเข้ารหัสแบบไม่สมมาตร
gost r 34. 11-94 เทคโนโลยีสารสนเทศ การป้องกันข้อมูลการเข้ารหัส ฟังก์ชั่นการแฮช;
gost r 50739-95 อุปกรณ์คอมพิวเตอร์ การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ข้อกำหนดทางเทคนิคทั่วไป
ตั้งแต่ปี 2004 มีมาตรฐานความมั่นคงแห่งชาติใหม่ GOST / ISO IEC 15408 - 2002 หลักเกณฑ์ทั่วไปในการประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ
ปีการกำเนิดของมาตรฐานสามารถพิจารณาได้ในปี 1990 - เป็นงานที่เริ่มสร้างมาตรฐานในการประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ (IT) ภายใต้การอุปถัมภ์ขององค์กรระหว่างประเทศเพื่อการกำหนดมาตรฐาน (ISO) เอกสารนี้ได้รับการแปลและดำเนินการเป็นพื้นฐานสำหรับการพัฒนาของ GOST / ISO IEC 15408 - 2002 ชื่อของมาตรฐานได้พัฒนาในอดีต ทำงานกับมันได้ดำเนินการด้วยความช่วยเหลือ องค์กรของรัฐ ตามมาตรฐานของสหรัฐอเมริกาแคนาดาบริเตนใหญ่ฝรั่งเศสเยอรมนีและฮอลแลนด์และดำเนินการตามวัตถุประสงค์แนวคิดต่อไปนี้:
- การรวมมาตรฐานแห่งชาติต่าง ๆ ในการประเมินความปลอดภัยด้านไอที
- ปรับปรุงระดับความเชื่อมั่นในการประเมินความปลอดภัยด้านไอที
- ลดค่าใช้จ่ายการประเมินความปลอดภัยด้านไอทีตามการรับรู้ร่วมกันของใบรับรอง
มาตรฐานรัสเซียเป็นการแปลที่แม่นยำ มาตรฐานสากล. เขาได้รับการรับรองจากความละเอียดของมาตรฐานของรัฐรัสเซียลงวันที่ 04.04.2002 หมายเลข 133- พื้นที่พร้อมวันที่ดำเนินการในวันที่ 1 มกราคม 2547 การเกิดขึ้นของ GOST นี้สะท้อนให้เห็นถึงกระบวนการของการปรับปรุงมาตรฐานของรัสเซีย แต่ยังเป็นส่วนหนึ่งของโครงการของรัฐบาลในการภาคยานุวัติของรัสเซียต่อ WTO (เป็นที่รู้จักกันดีเมื่อเข้าร่วมกับองค์กรนี้ผู้สมัครจะต้องเป็นแบบรวมภาษีมาตรฐานมาตรฐานการผลิตมาตรฐานคุณภาพและมาตรฐานบางอย่างในด้านความปลอดภัยของข้อมูล)
ภายในกรอบของมาตรฐานใหม่แนวคิดของ "ภัยคุกคาม" และ "โปรไฟล์" ได้รับการแนะนำ
โปรไฟล์การป้องกัน - "เป็นอิสระจากการดำเนินการตามข้อกำหนดด้านความปลอดภัยสำหรับบางประเภทของผลิตภัณฑ์หรือระบบไอทีที่ตรงตามคำขอของผู้บริโภคที่เฉพาะเจาะจง"
กลไกความปลอดภัยทั้งหมดที่อธิบายไว้ในโปรไฟล์เรียกว่าคุณสมบัติความปลอดภัยของวัตถุ (FBO) โปรไฟล์การป้องกันมีเฉพาะคุณสมบัติความปลอดภัยที่ต้องได้รับการคุ้มครองจากภัยคุกคามและปฏิบัติตามนโยบายความปลอดภัย
สมมติฐานความปลอดภัยเป็นคำอธิบายของเงื่อนไขเฉพาะที่ระบบจะดำเนินการ นโยบายความปลอดภัย - "หนึ่งหรือมากกว่าหนึ่งกฎขั้นตอนเทคนิคการปฏิบัติหรือแนวทางปฏิบัติในด้านความปลอดภัยที่มีการชี้นำโดยองค์กรในกิจกรรมของพวกเขา" โดยทั่วไปแล้วชุดของกฎเป็นประเภทของการทำงานของผลิตภัณฑ์ซอฟต์แวร์ที่จำเป็นสำหรับการใช้งานในองค์กรเฉพาะ
หนึ่งในเอกสารที่มีความสมดุลและทำงานได้มากที่สุดคือมาตรฐานอุตสาหกรรมภายในของธนาคารแห่งรัสเซียใน IB ของเขา รุ่นล่าสุด (2549) หมายถึงความตั้งใจที่ชัดเจนของธนาคารกลางเพื่อเปลี่ยนคำแนะนำของเอกสารสำหรับสถานะบังคับ
7.5 มาตรฐานการป้องกันข้อมูลในสาขาบัตรธนาคาร
มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) เป็นมาตรฐานสำหรับการปกป้องข้อมูลในอุตสาหกรรมบัตรชำระเงินที่พัฒนาโดย VISA ระหว่างประเทศและระบบการชำระเงิน MasterCard
การตัดสินใจสร้างมาตรฐานแบบครบวงจรนี้ถูกนำมาใช้โดยระบบการชำระเงินระหว่างประเทศเนื่องจากจำนวน บริษัท ที่เพิ่มขึ้นที่รายงานว่าข้อมูลที่เป็นความลับของพวกเขาเกี่ยวกับบัญชีของลูกค้าของพวกเขาสูญหายหรือถูกขโมย
วัตถุประสงค์มาตรฐาน:
- การเพิ่มความปลอดภัยของระบบการซื้อขายอิเล็กทรอนิกส์และการชำระเงิน
- สร้างความมั่นใจในสภาพแวดล้อมที่ปลอดภัยสำหรับการจัดเก็บข้อมูลผู้ถือบัตร
- การลดความไม่สอดคล้องกันในความต้องการด้านความปลอดภัยในอุตสาหกรรมบัตรชำระเงิน
- ความทันสมัยและการหาเหตุผลเข้าข้างตนเองของกระบวนการทางธุรกิจและลดต้นทุน
ข้อกำหนดของมาตรฐาน PCI DSS ถูกแจกจ่ายให้กับทุก บริษัท ที่ทำงานกับระบบการชำระเงิน Visa และ MasterCard International แต่ละ บริษัท จะได้รับการกำหนดระดับที่เหมาะสมกับการทำธุรกรรมของแต่ละ บริษัท แต่ละแห่งขึ้นอยู่กับจำนวนการทำธุรกรรมแต่ละ บริษัท เป็นส่วนหนึ่งของความต้องการของมาตรฐานการตรวจสอบประจำปีของ บริษัท รวมถึงการสแกนเครือข่ายรายไตรมาส
ตั้งแต่เดือนกันยายน 2549 มาตรฐานการรักษาความปลอดภัยข้อมูล PCI ได้รับการแนะนำโดยระบบการชำระเงินวีซ่าระหว่างประเทศในภูมิภาค CEMEA ตามลำดับการดำเนินการของมันใช้กับรัสเซีย ดังนั้นผู้ให้บริการ (ศูนย์ประมวลผล, เกตเวย์การชำระเงินผู้ให้บริการอินเทอร์เน็ต) การดำเนินงานโดยตรงจาก Visanet จะต้องผ่านขั้นตอนการตรวจสอบเพื่อให้สอดคล้องกับข้อกำหนดของมาตรฐาน มิฉะนั้นวีซ่าจะใช้บทลงโทษบางอย่างแก่ บริษัท
คำถามสำหรับการทดสอบตัวเอง
- ความแตกต่างที่สำคัญระหว่างการป้องกันของระบบคอมพิวเตอร์ของธนาคารจากการป้องกันระบบคอมพิวเตอร์อุตสาหกรรมคืออะไร?
- กิจกรรมใดที่สามารถนำมาประกอบกับมาตรการคุ้มครององค์กร
- หลักการของ "ปิดประตู" ในธนาคารคืออะไรและทำไมจึงไม่สามารถนำไปใช้อย่างมีประสิทธิภาพในขณะนี้?
- การป้องกันใดบ้างที่สามารถนำมาประกอบกับร่างกายได้?
- ระบบใดการวิเคราะห์หรือการดำเนินงานต้องการวิธีการป้องกันอย่างละเอียดมากขึ้นและทำไม?
- วิธีการแปลงข้อความการเข้ารหัสในการเข้ารหัสคืออะไร?
- กุญแจสำคัญคืออะไร?
- ให้คำจำกัดความของ "Gamming" ทำไมต้องใช้
- การเข้ารหัสด้วย "โน้ตบุ๊กฉีกขาด" และทำไมจึงไม่สามารถใช้งานได้ในขณะนี้?
- ความยาวของคีย์คืออะไรเมื่อเข้ารหัสโดยใช้มาตรฐาน DES?
- ความยาวที่สำคัญแตกต่างกันไปตามมาตรฐานภาษารัสเซียจากต่างประเทศหรือไม่? หล่อนคือใคร?
การนำเสนอ
ชื่องานนำเสนอ | คำอธิบายประกอบ |