Informācijas drošības sistēmas iezīmes banku sektorā. Banku informācijas aizsardzības veidi Banku sistēmu informācijas drošības sistēma

Banku informācijas drošības sistēma ļoti atšķiras no līdzīgām citu uzņēmumu un organizāciju stratēģijām. Tas galvenokārt saistīts ar apdraudējumu specifiku, kā arī banku publiskajām aktivitātēm, kas klientu ērtībām ir spiestas padarīt piekļuvi kontiem pietiekami vienkāršu.

Attīstoties un paplašinoties datortehnoloģiju sfērai, arvien aktuālāka kļūst skaitļošanas sistēmu drošības nodrošināšanas un tajās glabātās un apstrādātās informācijas aizsardzības pret dažādiem draudiem problēma. Tam ir vairāki objektīvi iemesli.

Galvenais no tiem ir paaugstināts uzticības līmenis automatizētajām informācijas apstrādes sistēmām. Viņiem uzticēts atbildīgākais darbs, no kura kvalitātes ir atkarīga daudzu cilvēku dzīve un labklājība. Datori pārvalda tehnoloģiskos procesus uzņēmumos un atomelektrostacijās, lidmašīnu un vilcienu kustību, veic finanšu darījumus, apstrādā slepenu informāciju.

Ir zināmas dažādas informācijas aizsardzības iespējas - no apsarga pie ieejas līdz matemātiski pārbaudītām metodēm, kā slēpt datus no paziņas. Turklāt mēs varam runāt par globālo aizsardzību un tās individuālajiem aspektiem: personālo datoru, tīklu, datu bāzu aizsardzību utt.

Jāatzīmē, ka nav absolūti drošu sistēmu. Mēs varam runāt par sistēmas uzticamību, pirmkārt, tikai ar noteiktu varbūtību, un, otrkārt, par aizsardzību pret noteiktas kategorijas pārkāpējiem. Tomēr var paredzēt ielaušanos datorsistēmā. Aizsardzība ir sava veida konkurence starp aizsardzību un uzbrukumu: uzvar tas, kurš zina vairāk un nodrošina efektīvus pasākumus.

Bankas automatizētās informācijas apstrādes sistēmas aizsardzības organizācija ir vienots pasākumu kopums, kurā būtu jāņem vērā visas informācijas apstrādes procesa iezīmes. Neskatoties uz neērtībām, kas lietotājam tiek sagādātas darbības laikā, daudzos gadījumos sistēmas normālai darbībai var būt absolūti nepieciešami aizsardzības pasākumi. Pie galvenajām no minētajām neērtībām jāmin Gaikovičs Ju.V., Peršins A.S. Elektronisko banku sistēmu drošība.-M.: Vienotā Eiropa, 1994.- S..33:

• 1. Papildu grūtības darbā ar visdrošākajām sistēmām.
• 2. Drošas sistēmas izmaksu paaugstināšana.
• 3. Papildu slodze uz sistēmas resursiem, kas prasīs palielināt darba laiku viena un tā paša uzdevuma veikšanai, jo lēnāka piekļuve datiem un darbību izpilde kopumā.
• 4. Nepieciešamība piesaistīt papildu personālu, kas atbild par aizsardzības sistēmas veselības uzturēšanu.

Grūti iedomāties modernu banku bez automatizētas informācijas sistēmas. Datoru savienošana savā starpā un ar jaudīgākiem datoriem, kā arī ar citu banku datoriem ir arī nepieciešams nosacījums veiksmīgai bankas darbībai - operāciju skaits, kas jāpaveic īsā laika periodā, ir pārāk liels.

Tajā pašā laikā Informācijas sistēmas kļūt par vienu no visneaizsargātākajām mūsdienu bankas pusēm, piesaistot iebrucējus gan no bankas darbinieku vidus, gan no ārpuses. Aplēses par zaudējumiem no noziegumiem, kas saistīti ar iejaukšanos banku informācijas sistēmas darbībā, ir ļoti dažādas. To aprēķināšanai ir dažādas metodes. Vidējā elektronisko banku zādzība ir aptuveni 9000 USD, un viens no bēdīgi slavenākajiem skandāliem ir mēģinājums nozagt 700 miljonus USD (First National Bank, Chicago).

Turklāt ir jāņem vērā ne tikai tiešo bojājumu apjoms, bet arī ļoti dārgi pasākumi, kas tiek veikti pēc veiksmīgiem datorsistēmu uzlaušanas mēģinājumiem. Tātad viens no spilgtākajiem piemēriem ir datu zudums par darbu ar Anglijas Bankas slepenajiem kontiem 1999. gada janvārī. Šis zaudējums lika bankai mainīt visu korespondentkontu kodus. Šajā sakarā Apvienotajā Karalistē tika brīdināti visi pieejamie izlūkošanas un pretizlūkošanas spēki, lai novērstu iespējamu informācijas noplūdi, kas varētu radīt milzīgus postījumus. Valdība veica ārkārtējus pasākumus, lai nepiederošie neuzzinātu kontiem un adresēm, uz kurām Anglijas Banka katru dienu sūta simtiem miljardu dolāru. Turklāt Apvienotajā Karalistē viņi vairāk baidījās no situācijas, kad dati varētu nonākt ārvalstu izlūkdienestu rīcībā. Šajā gadījumā būtu atvērts viss Anglijas Bankas finanšu korespondentu tīkls. Bojājumu iespējamība tika novērsta dažu nedēļu laikā.

Adžijevs V. Mīti par programmatūras drošību: mācības no slavenajām katastrofām//Open Systems.-1999. -- №6.-- C..21-24

Mūsdienās banku sniegtie pakalpojumi lielā mērā balstās uz elektronisku banku, banku un to klientu un tirdzniecības partneru mijiedarbības līdzekļu izmantošanu. Šobrīd piekļuve banku pakalpojumiem ir kļuvusi iespējama no dažādiem attāliem punktiem, tostarp mājas termināļiem un biroja datoriem. Šis fakts liek attālināties no jēdziena “aizslēgtas durvis”, kas bankām bija raksturīgs 60. gados, kad datori vairumā gadījumu tika izmantoti pakešu režīmā kā palīgrīks un tiem nebija nekādas saistības ar ārpasauli.

Aprīkojuma līmenim ar automatizācijas instrumentiem ir liela nozīme bankas darbībā un līdz ar to tiešā veidā ietekmē tās stāvokli un ienākumus. Pieaugošā konkurence starp bankām rada nepieciešamību samazināt norēķinu veikšanas laiku, palielināt pakalpojumu klāstu un uzlabot sniegto pakalpojumu kvalitāti. Jo mazāk laika aizņems norēķini starp banku un klientiem, jo ​​lielāks būs bankas apgrozījums un līdz ar to arī peļņa. Turklāt banka varēs ātrāk reaģēt uz izmaiņām finansiālā situācija. Bankas pakalpojumu daudzveidība (pirmkārt, tas attiecas uz iespēju veikt bezskaidras naudas norēķinus starp banku un tās klientiem, izmantojot plastikāta kartes) var ievērojami palielināt savu klientu skaitu un rezultātā palielināt peļņu.

Bankas informācijas drošībā jāņem vērā šādi specifiski faktori:

• 1. Banku sistēmās glabātā un apstrādātā informācija ir īsta nauda. Pamatojoties uz datora informāciju, var veikt maksājumus, atvērt aizdevumus un pārskaitīt ievērojamas summas. Ir pilnīgi skaidrs, ka nelikumīgas manipulācijas ar šādu informāciju var radīt nopietnus zaudējumus. Šī funkcija krasi paplašina to noziedznieku loku, kuri īpaši iejaucas bankās (atšķirībā, piemēram, no rūpniecības uzņēmumiem, kuru iekšējā informācija nevienu maz interesē).
• 2. Informācija banku sistēmās skar liela skaita cilvēku un organizāciju – banku klientu – intereses. Parasti tas ir konfidenciāls, un banka ir atbildīga par nepieciešamās slepenības pakāpes nodrošināšanu saviem klientiem. Protams, klientiem ir tiesības sagaidīt, ka bankai ir jārūpējas par viņu interesēm, pretējā gadījumā tā riskē ar savu reputāciju ar visām no tā izrietošajām sekām.
• 3. Bankas konkurētspēja ir atkarīga no tā, cik ērti klientam ir strādāt ar banku, kā arī no tā, cik plašs sniegto pakalpojumu klāsts, tajā skaitā ar attālo piekļuvi saistītie pakalpojumi. Tāpēc klientam jāspēj pārvaldīt savu naudu ātri un bez nogurdinošām procedūrām. Taču šī naudas pieejamības vienkāršība palielina iespējamību, ka banku sistēmās var iekļūt noziedzīgi.
• 4. Bankas informācijas drošībai (atšķirībā no vairuma uzņēmumu) ir jānodrošina augsta datorsistēmu uzticamība arī ārkārtas situācijās, jo banka ir atbildīga ne tikai par saviem līdzekļiem, bet arī par klientu naudu.
• 5. Banka glabā svarīgu informāciju par saviem klientiem, kas paplašina potenciālo iebrucēju loku, kuri ir ieinteresēti šādas informācijas nozagšanā vai bojāšanā.

Noziegumiem banku sektorā ir arī savas īpašības Gamza V.A. , Tkačuks I.B. Drošība komercbanka.- M.: Vienotā Eiropa, 2000.- C..24:

Uzbrucēji parasti izmanto savus kontus, uz kuriem tiek pārskaitītas nozagtās summas. Lielākā daļa noziedznieku nezina, kā atmazgāt nozagto naudu. Spēja izdarīt noziegumu un spēja iegūt naudu nav viens un tas pats.

Lielākā daļa datornoziegumu ir sīki. To radītie zaudējumi ir robežās no 10 000 līdz 50 000 USD.

Veiksmīgiem datornoziegumiem parasti ir nepieciešams liels skaits bankas darījumu (līdz pat vairākiem simtiem). Tomēr lielas summas var pārskaitīt tikai dažos darījumos.

Lielākā daļa iebrucēju ir ierēdņi. Lai gan arī vadošie banku darbinieki var izdarīt noziegumus un nodarīt bankai daudz lielāku kaitējumu, šādi gadījumi ir reti.

Datornoziegumi ne vienmēr ir augsto tehnoloģiju. Pietiek tikai viltot datus, mainīt ASOIB vides parametrus utt., un šīs darbības ir pieejamas arī apkalpojošajam personālam.

Daudzi uzbrucēji savu rīcību skaidro ar to, ka viņi vienkārši aizņemas no bankas ar vēlāku atmaksu. Tomēr "atgriešanās", kā likums, nenotiek.

Aizsardzības specifika automatizētas sistēmas banku informācijas apstrāde ir saistīta ar to risināmo uzdevumu īpatnībām:

Parasti ASOIB reāllaikā apstrādā lielu nepārtraukti pienākošu pieprasījumu straumi, kuru apstrādei nav nepieciešami daudzi resursi, taču tos visus kopā var apstrādāt tikai augstas veiktspējas sistēma;

ASOIB uzglabā un apstrādā konfidenciālu informāciju, kas nav paredzēta plašai sabiedrībai. Tā viltošana vai noplūde var radīt nopietnas (bankai vai tās klientiem) sekas. Tāpēc ASOIB ir lemts palikt relatīvi slēgtiem, darboties specifiskas programmatūras kontrolē un lielu uzmanību pievērst savas drošības nodrošināšanai;

Vēl viena ASOIB iezīme ir paaugstinātas prasības programmatūras un aparatūras uzticamībai. Šī iemesla dēļ daudzi mūsdienu ASOIB tiecas uz tā saukto kļūdu tolerantu datoru arhitektūru, kas ļauj nepārtraukti apstrādāt informāciju pat dažādu kļūmju un kļūmju gadījumā.

Banku ASOI izmantošana ir saistīta ar šo sistēmu aizsardzības specifiku, tāpēc bankām būtu jāpievērš lielāka uzmanība savu automatizēto sistēmu aizsardzībai.

Secinājumi par pirmo nodaļu:

• 1. AS "Globex" - liels finanšu iestāde, un tāpēc ļoti interesē tehniski aprīkotus pārkāpējus. Organizēto noziedzīgo grupējumu nostiprināšanās, to finansiālā spēka un tehniskā nodrošinājuma pieaugums dod pamatu domāt, ka turpināsies tendence pieaugt mēģinājumu skaitam iekļūt banku automatizētajās sistēmās.
• 2. Ņemot vērā Globex ASB vadības izvirzītos uzdevumus, secināms, ka attiecīgajiem bankas dienestiem būs jāpieliek lielas pūles, lai nodrošinātu bankas ASIS drošību, ņemot vērā tās darba specifiku.
• 3. AS "Globex" nepieciešams noteikt un prognozēt iespējamos draudus ASOI aizsardzības pasākumu pamatošanai, izvēlei un īstenošanai.
• 4. Kopš datorizācijas banku darbība kļūst arvien izplatītāka, un visas bankas savā starpā mijiedarbojas ar datoru starpniecību, tad Globex bankas Drošības dienestam būtu jāpievērš lielāka uzmanība datorinformācijas aizsardzībai bankā.

Jebkura dokumentēta informācija, kuras ļaunprātīga izmantošana var nodarīt kaitējumu Bankai un/vai klientam, kurš savu informāciju uzticējis Bankai, tiek aizsargāta.

Šāda informācija ietver:

1. Visas operācijas ar apropriāciju pārvaldītāju personīgajiem kontiem.

2. Darba samaksas saņemšanas termiņi iestādēm un organizācijām (saskaņā ar "algas" līgumiem).

3. Kontroles un pārskatīšanas darba plāni.

4. Ārējo un iekšējo auditu akti.

5. Informācija par saņemtajām summām no konkrēta maksātāja.

6. Sarakste ar tiesībsargājošajām iestādēm.

7. Oficiāla rakstura informācija, kas apspriesta vadītāju sanāksmēs.

8. Informācija, kas veido uzņēmumu, firmu, banku un citu saimniecisko vienību komercnoslēpumu.

9. Dati par "tirdzniecības dienas" apstrādei izmantoto programmatūru.

10. "Operācijas dienas" dokumentu aprites shēma.

11. Automatizēto sistēmu struktūra, ĀS administrēšanas kārtība un aizsargājamie informācijas resursi, paroļu un aktīvo iekārtu nosaukumu saraksti.

12. Informācijas plūsmu apraksts, telekomunikāciju pārvaldības topoloģija, AS elementu izkārtojumi.

13. Informācijas drošības sistēma.

14. Informācija par organizatoriskiem un tehniskiem informācijas aizsardzības pasākumiem.

15. Personāls un bankas darbinieku skaits.

16. Personas dati par darbiniekiem.

17. Informācija no darbinieka personas lietas, darba grāmatiņa, kartīte F. Nr.T-2.

18. Informācija par pilsoņa ienākumiem un viņam īpašumtiesībām piederošo īpašumu, dati par algas un citi darbinieku pabalsti.

19. Izmeklēšanas materiāli par pilsoņu iesniegumiem un darba disciplīnas pārkāpumiem.

20. Cita ar bankas darbību saistīta informācija, kuras izplatīšanas ierobežojumus nosaka saimnieciskā nepieciešamība.

AS resursi ietver datus, informāciju, programmatūra, aparatūra, iekārtas un telekomunikācijas.

Ir iestatīts informācijas aizsardzības režīms

• par valsts noslēpumu saturošu informāciju bankas informācijas drošības departaments saskaņā ar likumu Krievijas Federācija"Par valsts noslēpumu";
• attiecībā uz konfidenciālu dokumentētu informāciju - informācijas resursu īpašnieks, pamatojoties uz federālo likumu "Par informāciju, informatizāciju un informācijas aizsardzību";

1.4.2. Iespējamie apdraudējumi aizsargātajiem informācijas resursiem

Identificētie draudi ietver:

1. Neatļauta piekļuve.

2. Tīšas un neapzinātas atteices datortehnikas, elektroiekārtu u.c. darbībā, kas izraisa informācijas zudumu vai sagrozīšanu.

3. Pa sakaru kanāliem pārraidītās informācijas pārtveršana, sagrozīšana vai maiņa.

4. Nelegāla piekļuve informācijai.

1.4.3. Informācijas resursu aizsardzība

Aizsargāto informācijas resursu iespējamo apdraudējumu novēršanu veic:

1. No nesankcionētas piekļuves- sistēmas izveide informācijas aizsardzībai pret nesankcionētu piekļuvi, kas ir programmatūras un aparatūras un organizatorisko risinājumu komplekss.

Organizatoriskie lēmumi ietver:

· Objekta, kurā atrodas aizsargājamā AES, aizsardzības nodrošināšana, lai novērstu SVT, informācijas nesēju, kā arī UA uz SVT un sakaru līniju zādzību;

AS drošības klases izvēle atbilstoši informācijas apstrādes pazīmēm un tās konfidencialitātes līmenim;

uzskaites organizēšana, informācijas nesēju, paroļu, atslēgu glabāšana un izsniegšana, oficiālās dokumentācijas uzturēšana, jaunas ĀS iekļautās programmatūras pieņemšana, kā arī gaitas uzraudzība tehnoloģiskais process konfidenciālas informācijas apstrāde;

· atbilstošas ​​organizatoriskās un administratīvās dokumentācijas izstrāde.

Savienojums ar globālajiem datortīkliem tiek veikts tikai pēc šāda savienojuma faktiskās nepieciešamības konstatēšanas, visa spektra aizsardzības pasākumu īstenošanas.

2. No tīšām un netīšām neveiksmēm datortehnikas, elektroiekārtu u.c. darbībā, kas izraisa informācijas zudumu vai sagrozīšanu.

Informācijas un telekomunikāciju sistēmu darbībai nepieciešamā programmatūra (programmatūra) tiek sastādīta saraksta veidā, un tā lietošanai jāapstiprina vadītājam.

Jebkuras programmas instalēšanu darba vietās veic tikai IT speciālisti. Programmatūras pašinstalēšana ir stingri aizliegta.

Lai nodrošinātu konfidenciālās informācijas aizsardzību pret sagrozīšanu vai iznīcināšanu datora un iekārtu darbības traucējumu gadījumā, tiek veikta aizsargātās informācijas dublēšana, kā arī tiek izmantoti nepārtrauktās barošanas avoti. Dublēšanas biežumu un secību nosaka LAN administrators, pamatojoties uz nepieciešamību saglabāt informāciju, datu bāzes programmatūru.

3. Pa sakaru kanāliem pārraidītās informācijas pārtveršana, sagrozīšana vai maiņa.

Konfidenciālas informācijas, kas apzīmēta ar atzīmi "Oficiālai lietošanai", nodošana līdz atvērti kanāli ir aizliegta saziņa, izmantojot e-pastu, faksu un jebkādus citus saziņas veidus, neizmantojot šifrēšanu.

E-pasts tiek izmantots, lai veiktu bankas darba plūsmu ar citām organizācijām. Pēc darba dienas vietas, kur atrodas komutācijas iekārtas, ir aizzīmogotas, durvis ir aizslēgtas, nepiederošām personām bez atbildīgās personas pavadības piekļuve tām ir aizliegta. (Svešie ir arī bankas darbinieki, kuri savā veidā funkcionālie pienākumi nav saistīti ar šīs iekārtas darbību).

Atbildīgās personas regulāri veic visu telekomunikāciju vizuālo kontroli, lai identificētu vai laicīgi novērstu mēģinājumus pieslēgt īpašas ierīces informācijas nolasīšanai.

4. Nelegāla piekļuve informācijai.

Lai novērstu nelikumīgu piekļuvi informācijai, būtu jāierobežo piekļuve telpām, kurās tiek apstrādāta aizsardzībai pakļautā informācija.

Organizējot savu darba vietu, darbinieks displeja ekrānu iekārto tā, lai nepiederošām personām būtu grūti aplūkot ekrānā redzamo informāciju.

Jebkāda iemesla dēļ atstājot savu darba vietu, darbiniekam ir jāatsakās no tīkla vai jābloķē monitora ekrāns.

1.4.4. Aizsardzība pret vīrusu

Kādai jābūt pretvīrusu aizsardzībai?

AT vispārējs gadījums, banku informācijas sistēmas pretvīrusu aizsardzība jāveido pēc hierarhijas principa:

• korporatīvā līmeņa pakalpojumi - hierarhijas 1. līmenis;
• apakšnodaļu vai filiāļu pakalpojumi - hierarhijas 2. līmenis;
• galalietotāju pakalpojumi - hierarhijas 3. līmenis.

Visu līmeņu pakalpojumi tiek apvienoti vienā datortīklā (veido vienotu infrastruktūru), izmantojot lokālo tīklu.

Uzņēmuma mēroga pakalpojumiem ir jādarbojas nepārtraukti.

Visu līmeņu vadība būtu jāveic speciāliem darbiniekiem, kuriem jānodrošina centralizēti administrēšanas instrumenti.

Pretvīrusu sistēmai uzņēmuma līmenī ir jānodrošina šāda veida pakalpojumi:

• programmatūras atjauninājumu un pretvīrusu datubāzu saņemšana;
• pretvīrusu programmatūras izplatīšanas vadīšana;
• pārvaldīt pretvīrusu datu bāzes atjauninājumus;
• sistēmas darbības kontrole kopumā (brīdinājumu saņemšana par vīrusa atklāšanu, regulāra visaptverošu atskaišu saņemšana par sistēmas darbību kopumā);

nodaļas līmenī:

• galalietotāju pretvīrusu datubāzu atjaunināšana;
• galalietotāju pretvīrusu programmatūras atjaunināšana, vietējo lietotāju grupu pārvaldība;
• gala lietotāja līmenī:
• automātiska lietotāja datu pretvīrusu aizsardzība.

Funkcionālās prasības

• Tālvadība. Iespēja pārvaldīt visu sistēmu no vienas darbstacijas (piemēram, no administratora darbstacijas).
• Mežizstrāde. Darba žurnālu glabāšana ērtā, pielāgojamā formā.
• Brīdinājumi. Aizsardzības sistēmai jāspēj nosūtīt paziņojumus par notiekošajiem notikumiem.
• Sistēmas veiktspēja. Ir nepieciešams regulēt slodzes līmeni no pretvīrusu aizsardzības
• Aizsardzība pret dažāda veida vīrusiem. Jānodrošina vīrusu noteikšanas iespēja izpildāmajos failos, dokumentu makro. Turklāt ir jānodrošina programmatūrai nezināmu vīrusu noteikšanas mehānismi.
• Pastāvīga darbstaciju aizsardzība. Darbstacijām ir jāpalaiž programmatūra, kas pārbauda failus, kad tie tiek atvērti un ierakstīti diskā.
• Automātiska pretvīrusu datu bāzes atjaunināšana. Jābūt iespējai automātiski saņemt pretvīrusu datubāzes atjauninājumus un atjaunināt pretvīrusu datubāzi klientiem.

Vispārīgās prasības

• Pretvīrusu aizsardzības sistēmas programmatūras un aparatūras komponentiem ir jānodrošina integrētas skaitļošanas vides veidošana, kas atbilst šādiem vispārējiem automatizētu sistēmu izveides principiem:
• Uzticamība – sistēmai kopumā ir jāspēj turpināt darboties neatkarīgi no atsevišķu sistēmas mezglu darbības, un tai ir jābūt līdzekļiem, lai atgūtos no atteices.
• Mērogojamība - pretvīrusu aizsardzības sistēma jāveido, ņemot vērā aizsargājamo objektu skaita pieaugumu.
• Atvērtība - sistēma jāveido, ņemot vērā iespēju papildināt un atjaunināt tās funkcijas un sastāvu, netraucējot skaitļošanas vides darbību kopumā.
• Saderība - pretvīrusu programmatūras atbalsts maksimālajam tīkla resursu skaitam. Komponentu struktūrai un funkcionālajām iezīmēm jānodrošina mijiedarbības līdzekļi ar citām sistēmām.
• Viendabīgums (viendabīgums) - komponentiem jābūt standarta, rūpnieciskām sistēmām un instrumentiem, kuriem ir plašs darbības joma un ko apliecina atkārtota lietošana.
• Turklāt sistēmai ir jānodrošina regulāri lietotās pretvīrusu datu bāzes atjauninājumi, jāietver mehānismi iepriekš nezināmu vīrusu un makrovīrusu meklēšanai, kā šobrīd visizplatītākie un bīstamākie.

Prasības sistēmas uzticamībai un funkcionēšanai

• Pretvīrusu aizsardzības sistēma nedrīkst pārkāpt citu izmantoto lietojumprogrammu loģiku.
• Sistēmai ir jānodrošina iespēja atgriezties pie iepriekšējās pretvīrusu datu bāzu versijas.
• Sistēmai jādarbojas tā objekta (darbstacijas/servera) darbības režīmā, uz kura tā ir uzstādīta.
• Kļūmju vai vīrusu atklāšanas gadījumā sistēmai jāziņo sistēmas administratoram.

1. Pirmajā līmenī tie aizsargā savienojumu ar internetu vai sakaru pakalpojumu sniedzēja tīklu - tas ir ugunsmūris un pasta vārtejas, jo saskaņā ar statistiku aptuveni 80% vīrusu ienāk no turienes. Jāatzīmē, ka šādā veidā tiks atklāti ne vairāk kā 30% vīrusu, jo atlikušie 70% tiks atklāti tikai izpildes laikā.

Antivīrusu izmantošana ugunsmūriem mūsdienās ir ierobežota līdz interneta piekļuves filtrēšanai, vienlaikus pārbaudot, vai trafikā nav vīrusu.

Šādu produktu veiktā pretvīrusu skenēšana ir ļoti lēna un tai ir ārkārtīgi zems noteikšanas līmenis, tāpēc, ja nav nepieciešamības filtrēt lietotāju apmeklētās vietnes, šādu produktu lietošana nav ieteicama.

2. Parasti aizsargājiet failu serverus, datu bāzu serverus un sadarbības darba sistēmu serverus, jo tie satur vissvarīgāko informāciju. Antivīruss neaizstāj informācijas dublēšanas rīkus, taču bez tā var rasties situācija, kad dublējumkopijas tiek inficētas un vīruss kļūst aktīvs sešus mēnešus pēc inficēšanās.

3. Un visbeidzot, tie aizsargā darbstacijas, lai gan tajās nav svarīgas informācijas, aizsardzība var ievērojami samazināt avārijas atkopšanas laiku.

Faktiski visi banku informācijas sistēmas komponenti, kas saistīti ar informācijas pārvadāšanu un/vai uzglabāšanu, ir pakļauti pretvīrusu aizsardzībai:

Ø failu serveri;

Ø Darbstacijas;

Ø Mobilo lietotāju darbstacijas;

Ø Rezerves serveris;

Ø E-pasta serveris;

Ø Darba vietu (tostarp mobilo lietotāju) aizsardzība jāveic ar pretvīrusu rīkiem un darbstaciju ugunsmūriem.

Tīkla ekranēšanas rīki galvenokārt paredzēti mobilo sakaru lietotāju aizsardzībai, strādājot internetā, kā arī uzņēmuma LAN darbstaciju aizsardzībai no iekšējās drošības politikas pārkāpējiem.

Galvenās darbstaciju ugunsmūru funkcijas:

Kontrolējiet savienojumus abos virzienos

Atļaut zināmajām lietojumprogrammām piekļūt internetam bez lietotāja iejaukšanās (automātiskā konfigurācija)

Katra lietojumprogrammas konfigurācijas vednis (tikai instalētās lietojumprogrammas var parādīt tīkla darbību)

Padariet datoru neredzamu internetā (slēpj portus)

Novērst zināmos hakeru uzbrukumus un Trojas zirgus

Paziņojiet lietotājam par uzlaušanas mēģinājumiem

Ierakstiet savienojuma informāciju žurnālfailā

Novērst datu, kas definēti kā sensitīvi, sūtīšanu bez iepriekšēja brīdinājuma

Neļaut serveriem saņemt informāciju bez lietotāja ziņas (sīkdatnes)

Informācijas sistēmu pretvīrusu aizsardzība ir vissvarīgākā un pastāvīgākā visas sistēmas funkcija ekonomiskā drošība burka. Šajā gadījumā īslaicīgi atvieglojumi un novirzes no standartiem ir nepieņemami. Neatkarīgi no jau esošajiem pretvīrusu aizsardzības risinājumiem bankā, vienmēr ir lietderīgi veikt papildu auditu un novērtēt sistēmu ar neatkarīga un kompetenta eksperta acīm.

Banku darbība vienmēr ir bijusi saistīta ar liela apjoma konfidenciālu datu apstrādi un uzglabāšanu. Pirmkārt, tie ir personas dati par klientiem, par viņu noguldījumiem un par visiem veiktajiem darījumiem.

Visa komerciālā informācija, ko glabā un apstrādā kredītiestādes, ir pakļauta dažādiem riskiem, kas saistīti ar vīrusiem, aparatūras kļūmēm, operētājsistēmas kļūmēm utt. Bet šīs problēmas nevar radīt nopietnus bojājumus. Ikdienas datu dublēšana, bez kuras nav iedomājama neviena uzņēmuma informācijas sistēmas darbība, līdz minimumam samazina neatgriezeniska informācijas zuduma risku. Turklāt labi izstrādātas un plaši pazīstamas metodes aizsardzībai pret šiem draudiem. Tāpēc priekšplānā izvirzās riski, kas saistīti ar nesankcionētu piekļuvi konfidenciālai informācijai (UAI).

Neatļauta piekļuve ir realitāte

Līdz šim visizplatītākās trīs konfidenciālās informācijas nozagšanas metodes. Pirmkārt, fiziska piekļuve tā uzglabāšanas un apstrādes vietām. Šeit ir daudz iespēju. Piemēram, uzbrucēji var naktī ielauzties bankas birojā un nozagt cietos diskus ar visām datu bāzēm. Iespējams pat bruņots reids, kura mērķis nav nauda, ​​bet informācija. Iespējams, ka kāds bankas darbinieks pats var iznest datu nesēju no teritorijas.

Otrkārt, dublējumkopiju izmantošana. Lielākajā daļā banku svarīgu datu rezerves sistēmas ir balstītas uz lentes diskdziņiem. Viņi ieraksta izveidotās kopijas magnētiskajās lentēs, kuras pēc tam tiek glabātas atsevišķā vietā. Piekļuve tiem tiek regulēta daudz saudzīgāk. To transportēšanas un uzglabāšanas laikā salīdzinoši liels skaits cilvēku var izgatavot to kopijas. Riskus, kas saistīti ar sensitīvu datu dublēšanu, nevar novērtēt par zemu. Piemēram, lielākā daļa ekspertu ir pārliecināti, ka Krievijas Federācijas Centrālās bankas sludinājumu datu bāzes, kas parādījās pārdošanā 2005. gadā, tika nozagtas tieši pateicoties kopijām, kas izņemtas no magnētiskajām lentēm. Pasaules praksē šādu incidentu ir daudz. Jo īpaši pagājušā gada septembrī piegādātāja Chase Card Services (JPMorgan Chase & Co. nodaļa) darbinieki. kredītkartes, kļūdaini izmeta piecas rezerves lentes, kurās bija informācija par 2,6 miljoniem īpašnieku kredīta kontiķēdes pilsēta.

Treškārt, visticamākais konfidenciālas informācijas nopludināšanas veids ir bankas darbinieku nesankcionēta piekļuve. Izmantojot tikai standarta operētājsistēmas rīkus tiesību atdalīšanai, lietotājiem bieži vien ir iespēja netieši (izmantojot noteiktu programmatūru) pilnībā kopēt datu bāzes, ar kurām viņi strādā, un izvest tās ārpus uzņēmuma. Dažreiz darbinieki to dara bez jebkāda ļauna nolūka, lai tikai strādātu ar informāciju mājās. Taču šādas darbības ir nopietns drošības politikas pārkāpums un var kļūt (un kļūt!) par iemeslu konfidenciālu datu izpaušanai.

Turklāt jebkurā bankā ir cilvēku grupa ar paaugstinātām privilēģijām vietējā tīklā. Mēs runājam par sistēmas administratoriem. No vienas puses, tas viņiem ir vajadzīgs, lai veiktu dienesta pienākumus. Bet, no otras puses, viņiem ir iespēja piekļūt jebkurai informācijai un "segt savas pēdas".

Tātad aizsardzības sistēma banku informācija no nesankcionētas piekļuves jāsastāv no vismaz trim apakšsistēmām, no kurām katra nodrošina aizsardzību pret sava veida apdraudējumiem. Tās ir apakšsistēma aizsardzībai pret fizisku piekļuvi datiem, apakšsistēma dublējumu drošības nodrošināšanai un apakšsistēma aizsardzībai pret iekšējām personām. Un nav ieteicams nevienu no tiem atstāt novārtā, jo katrs drauds var izraisīt konfidenciālu datu izpaušanu.

Bankas likums nav rakstīts?

Pašlaik banku darbību regulē federālais likums "Par bankām un banku darbību". Tas, cita starpā, ievieš jēdzienu "bankas noslēpums". Saskaņā ar to jebkurai kredītiestādei ir pienākums nodrošināt visu datu par klientu noguldījumiem konfidencialitāti. Tā ir atbildīga par to izpaušanu, tostarp par informācijas noplūdes radītā kaitējuma atlīdzināšanu. Tajā pašā laikā nav izvirzītas prasības banku informācijas sistēmu drošībai. Tas nozīmē, ka visus lēmumus par komercdatu aizsardzību bankas pieņem pašas, balstoties uz savu speciālistu vai trešo pušu uzņēmumu (piemēram, informācijas drošības auditu veicēju) pieredzi. Vienīgais ieteikums ir Krievijas Federācijas Centrālās bankas standarts “Krievijas Federācijas banku sistēmas organizāciju informācijas drošības nodrošināšana. Vispārīgi noteikumi". Pirmo reizi tas parādījās 2004. gadā, un 2006. gadā tika pieņemta jauna versija. Veidojot un pabeidzot šo departamenta dokumentu, aktuālā krievu un starptautiskajiem standartiem informācijas drošības jomā.

Krievijas Federācijas Centrālā banka to var tikai ieteikt citām bankām, bet nevar uzstāt uz obligātu ieviešanu. Turklāt standartā ir maz skaidru prasību, kas nosaka konkrētu produktu izvēli. Tas noteikti ir svarīgi, bet šobrīd tam nav nopietnas praktiskas nozīmes. Piemēram, par sertificētajiem produktiem ir teikts šādi: "...var izmantot sertificētus vai autorizētus līdzekļus informācijas aizsardzībai pret nesankcionētu piekļuvi." Nav atbilstoša saraksta.

Standartā ir arī uzskaitītas prasības kriptogrāfiskajiem informācijas aizsardzības līdzekļiem bankās. Un šeit jau ir vairāk vai mazāk skaidra definīcija: "CIPF ... ir jāīsteno, pamatojoties uz algoritmiem, kas atbilst Krievijas Federācijas nacionālajiem standartiem, līguma noteikumiem ar darījumu partneri un (vai) standartiem. no organizācijas." Ar sertifikāciju ir iespējams apstiprināt kriptogrāfijas moduļa atbilstību GOST 28147-89. Tāpēc, izmantojot šifrēšanas sistēmas bankā, ir vēlams izmantot Krievijas Federācijas Federālā drošības dienesta sertificētus programmatūras vai aparatūras kriptovalūtu nodrošinātājus, tas ir, ārējos moduļus, kas pieslēdzas programmatūrai un ievieš pašu šifrēšanas procesu.

Pagājušā gada jūlijā tika pieņemts Krievijas Federācijas federālais likums "Par personas datiem", kas stājās spēkā 2007.gada 1.janvārī. Daži eksperti ar to saistīja specifiskāku prasību parādīšanos banku drošības sistēmām, jo ​​bankas ir organizācijas, kas apstrādā personas datus. Taču pats likums, kas kopumā noteikti ir ļoti svarīgs, šobrīd praktiski nav piemērojams. Problēma slēpjas tajā, ka trūkst privāto datu aizsardzības standartu un iestāžu, kas varētu kontrolēt to īstenošanu. Tas ir, izrādās, ka šobrīd bankas var brīvi izvēlēties sistēmas komerciālās informācijas aizsardzībai.

Fiziskās piekļuves aizsardzība

Bankas tradicionāli ir likušas lielu uzsvaru uz strādājošo biroju, turētājbanku un tamlīdzīgu fizisko drošību. Tas viss samazina risku nesankcionētai piekļuvei komerciālai informācijai, izmantojot fizisku piekļuvi. Taču banku biroji un tehniskās telpas, kurās atrodas serveri, parasti aizsardzības pakāpes ziņā neatšķiras no citu uzņēmumu birojiem. Tāpēc, lai minimizētu aprakstītos riskus, nepieciešams izmantot kriptogrāfiskās aizsardzības sistēmu.

Mūsdienās tirgū ir liels skaits utilītu, kas šifrē datus. Taču to apstrādes īpatnības bankās uzliek papildu prasības atbilstošajai programmatūrai. Pirmkārt, kriptogrāfijas aizsardzības sistēmā ir jāievieš caurspīdīgas šifrēšanas princips. Lietojot to, dati galvenajā krātuvē vienmēr ir tikai kodētā veidā. Turklāt šī tehnoloģija ļauj samazināt izmaksas par regulāru darbu ar datiem. Tie nav jāatšifrē un jāšifrē katru dienu. Piekļuve informācijai tiek veikta, izmantojot īpašu serverī instalētu programmatūru. Tas automātiski atšifrē informāciju, kad tai tiek piekļūts, un šifrē to, pirms tā tiek ierakstīta cietajā diskā. Šīs darbības tiek veiktas tieši servera RAM.

Otrkārt, banku datu bāzes ir ļoti lielas. Tādējādi kriptogrāfiskās informācijas aizsardzības sistēmai jādarbojas nevis ar virtuālām, bet gan reālām cietā diska nodalījumiem, RAID masīviem un citiem servera datu nesējiem, piemēram, SAN krātuvēm. Fakts ir tāds, ka konteineru faili, kurus var savienot ar sistēmu kā virtuālos diskus, nav paredzēti darbam ar lielu datu apjomu. Gadījumā, ja no šāda faila izveidots virtuālais disks ir liels, kad tam piekļūst pat vairāki cilvēki vienlaikus, var novērot būtisku informācijas lasīšanas un rakstīšanas ātruma samazināšanos. Vairāku desmitu cilvēku darbs ar lielu konteinera failu var pārvērsties par īstām mocībām. Tāpat ņemiet vērā, ka šos objektus var sabojāt vīrusi, failu sistēmas avārijas utt. Galu galā tie ir parastie faili, bet diezgan lieli. Un pat nelielas izmaiņas var novest pie tā, ka nav iespējams atšifrēt visu tajā ietverto informāciju. Abas šīs obligātās prasības būtiski sašaurina aizsardzības ieviešanai piemēroto produktu klāstu. Patiesībā šodien Krievijas tirgusšādas sistēmas ir tikai dažas.

Nav nepieciešams detalizēti apsvērt serveru sistēmu tehniskās īpašības kriptogrāfiskās informācijas aizsardzībai, jo mēs jau esam salīdzinājuši šos produktus vienā no iepriekšējiem izdevumiem. ( Stolyarov N., Davletkhanov M. UTM aizsardzība.) Bet ir vērts atzīmēt dažas šādu sistēmu iezīmes, kuru klātbūtne ir vēlama bankām. Pirmais ir saistīts ar jau minēto lietotā kriptogrāfijas moduļa sertifikāciju. Atbilstošā programmatūra vai aparatūra jau ir pieejama lielākajā daļā banku. Tāpēc servera informācijas aizsardzības sistēmai būtu jāparedz iespēja tos savienot un izmantot. Otra īpašā prasība informācijas drošības sistēmai ir spēja integrēties biroja un/vai serveru telpas fiziskajā drošības sistēmā. Tas ļauj aizsargāt informāciju no nesankcionētas piekļuves, kas saistīta ar zādzībām, uzlaušanu utt.

Īpaša uzmanība bankās būtu jāpievērš informācijas drošībai, jo patiesībā tā ir klientu nauda. Tāpēc aizsardzības sistēmai jābūt aprīkotai ar īpašām funkcijām, kas samazina tās zaudēšanas risku. Viena no ievērojamākajām ir slikto sektoru noteikšanas funkcija cietajā diskā. Turklāt liela nozīme ir iespējai apturēt un atcelt diska sākotnējās šifrēšanas, tā atšifrēšanas un atkārtotas šifrēšanas procesus. Tās ir diezgan ilgas procedūras, kuru laikā jebkura kļūme apdraud visu datu pilnīgu zaudēšanu.

Cilvēciskais faktors ļoti lielā mērā ietekmē riskus, kas saistīti ar nesankcionētu piekļuvi konfidenciālai informācijai. Tāpēc vēlams, lai aizsardzības sistēma paredzētu iespēju šīs attiecības samazināt. Tas tiek panākts, izmantojot uzticamus šifrēšanas atslēgu uzglabāšanas līdzekļus - viedkartes vai USB atslēgas. Šo žetonu iekļaušana produktā ir optimāla, ļauj ne tikai optimizēt izmaksas, bet arī nodrošina pilnīgu programmatūras un aparatūras savietojamību.

Vēl viena svarīga iezīme, lai samazinātu ietekmi cilvēciskais faktors par aizsardzības sistēmas uzticamību, ir atslēgu kvorums. Tās būtība slēpjas šifrēšanas atslēgas sadalīšanā vairākās daļās, no kurām katra tiek nodota viena atbildīga darbinieka lietošanā. Lai pievienotu slēgtu disku, ir nepieciešams noteikts detaļu skaits. Turklāt tas var būt mazāks par kopējo atslēgas daļu skaitu. Šāda pieeja ļauj aizsargāt datus no atbildīgu darbinieku ļaunprātīgas izmantošanas, kā arī nodrošina bankas darbam nepieciešamo elastību.

Rezerves aizsardzība

Regulāra visas bankā glabātās informācijas dublēšana ir absolūti nepieciešams pasākums. Tas ļauj ievērojami samazināt zaudējumus tādu problēmu gadījumā kā vīrusu izraisīti datu bojājumi, aparatūras kļūmes utt. Bet tajā pašā laikā tas palielina riskus, kas saistīti ar nesankcionētu piekļuvi. Prakse rāda, ka datu nesējus, uz kuriem tiek rakstītas dublējumkopijas, nevajadzētu glabāt serveru telpā, bet gan citā telpā vai pat ēkā. Pretējā gadījumā ugunsgrēka vai cita nopietna incidenta gadījumā var neatgriezeniski zaudēt gan pašus datus, gan to arhīvus. Vienīgais veids, kā droši aizsargāt dublējumus no nesankcionētas izmantošanas, ir kriptogrāfija. Tādā gadījumā, paturot sev līdzi šifrēšanas atslēgu, drošības darbinieks var droši nodot datu nesēju ar arhīviem tehniskajiem darbiniekiem.

Galvenās grūtības, organizējot dublējumu kriptogrāfisko aizsardzību, ir nepieciešamība nodalīt pienākumus datu arhivēšanas pārvaldībā. Sistēmas administratoram vai citam tehniskajam darbiniekam pašam ir jākonfigurē un jāievieš dublēšanas process. Informācijas šifrēšana būtu jāpārvalda atbildīgam darbiniekam – apsardzes darbiniekam. Tajā pašā laikā ir jāsaprot, ka vairumā gadījumu rezervēšana tiek veikta automātiski. Šo problēmu var atrisināt, tikai "iegulstot" kriptogrāfijas aizsardzības sistēmu starp rezerves pārvaldības sistēmu un ierīcēm, kas ieraksta datus (straumētāji, DVD diskdziņi utt.).

Tādējādi, lai kriptogrāfijas izstrādājumus varētu izmantot bankās, tiem jāspēj strādāt arī ar dažādām ierīcēm, ko izmanto dublējumu ierakstīšanai datu nesējos: straumētājiem, CD un DVD diskdziņiem, noņemamiem cietajiem diskiem utt.

Mūsdienās ir trīs veidu produkti, kas izstrādāti, lai samazinātu riskus, kas saistīti ar nesankcionētu piekļuvi dublējumkopijām. Pirmajā ietilpst īpašas ierīces. Šādiem aparatūras risinājumiem ir daudz priekšrocību, tostarp uzticama informācijas šifrēšana un liels ātrums. Tomēr tiem ir trīs būtiski trūkumi, kas neļauj tos izmantot bankās. Pirmkārt: ļoti augstas izmaksas (desmitiem tūkstošu dolāru). Otrkārt: iespējamās problēmas ar importu uz Krieviju (nedrīkst aizmirst, ka runa ir par kriptogrāfijas rīkiem). Trešais trūkums ir nespēja ar tiem savienot ārējos sertificētus kriptovalūtu pakalpojumu sniedzējus. Šīs plates darbojas tikai ar šifrēšanas algoritmiem, kas tajās ir ieviesti aparatūras līmenī.

Otrā aizsardzības sistēmu grupa dublējumu kriptogrāfiskai aizsardzībai sastāv no moduļiem, kurus saviem klientiem piedāvā programmatūras un aparatūras izstrādātāji dublēšanai. Tie pastāv visiem pazīstamākajiem produktiem šajā jomā: ArcServe, Veritas Backup Exec utt. Tiesa, arī tiem ir savas īpašības. Vissvarīgākais ir strādāt tikai ar "savu" programmatūru vai disku. Tikmēr bankas informācijas sistēma nepārtraukti attīstās. Un iespējams, ka rezerves sistēmas nomaiņa vai paplašināšana var prasīt papildu izmaksas aizsardzības sistēmas modificēšanai. Turklāt lielākajā daļā šīs grupas produktu ir ieviesti veci lēnas šifrēšanas algoritmi (piemēram, 3DES), nav atslēgu pārvaldības rīku, kā arī nav iespējas savienot ārējos kriptovalūtu nodrošinātājus.

Tas viss liek mums pievērst īpašu uzmanību kriptogrāfiskajām aizsardzības sistēmām trešās grupas dublējumkopijām. Tas ietver īpaši izstrādātu programmatūru, programmaparatūru un aparatūras produktus, kas nav saistīti ar konkrētām datu arhivēšanas sistēmām. Tie atbalsta plašu informācijas reģistrēšanas ierīču klāstu, kas ļauj tās izmantot visā bankā, tostarp visās tās filiālēs. Tas nodrošina izmantoto aizsardzības līdzekļu viendabīgumu un ekspluatācijas izmaksu samazināšanu.

Tiesa, ir vērts atzīmēt, ka, neskatoties uz visām to priekšrocībām, tirgū ir ļoti maz produktu no trešās grupas. Visticamāk, tas ir tāpēc, ka nav liela pieprasījuma pēc kriptogrāfijas rezerves aizsardzības sistēmām. Tiklīdz banku vadība un citi lielas organizācijas apzinās ar komerciālās informācijas arhivēšanu saistīto risku realitāti, spēlētāju skaits šajā tirgū pieaugs.

Iekšējā aizsardzība

Jaunākie pētījumi informācijas drošības jomā, piemēram, ikgadējais CSI/FIB datornoziegumu un drošības pētījums, liecina, ka uzņēmumu finansiālie zaudējumi no lielākās daļas apdraudējumu ar katru gadu samazinās. Tomēr pastāv vairāki riski, kuru radītie zaudējumi pieaug. Viens no tiem ir apzināta konfidenciālas informācijas zādzība vai darbības ar to noteikumu pārkāpšana no to darbinieku puses, kuru piekļuve komercdatiem ir nepieciešama darba pienākumu veikšanai. Viņus sauc par iekšējiem.

Lielākajā daļā gadījumu konfidenciālas informācijas zādzība tiek veikta, izmantojot mobilos datu nesējus: kompaktdiskus un DVD, ZIP ierīces un, pats galvenais, visu veidu USB diskus. Tā bija to masveida izplatīšana, kas izraisīja iekšējās informācijas uzplaukumu visā pasaulē. Vairums banku vadītāji labi apzinās, kas draud, piemēram, ja noziedzīgu struktūru rokās nonāk datubāze ar viņu klientu personas datiem vai turklāt darījumiem viņu kontos. Un ar viņiem pieejamām organizatoriskām metodēm cenšas cīnīties ar iespējamo informācijas zādzību.

Tomēr organizatoriskās metodes šajā gadījumā ir neefektīvas. Mūsdienās ir iespējams organizēt informācijas pārsūtīšanu starp datoriem, izmantojot miniatūru zibatmiņu, mobilo tālruni, mp3 atskaņotāju, digitālo kameru... Protams, jūs varat mēģināt aizliegt visas šīs ierīces ienest birojā, bet tas, pirmkārt, negatīvi ietekmēs attiecības ar darbiniekiem, otrkārt, joprojām ir ļoti grūti izveidot patiešām efektīvu kontroli pār cilvēkiem - banka nav "pastkastīte". Un pat visu ierīču atspējošana datoros, ar kurām var ierakstīt informāciju ārējos datu nesējos (FDD un ZIP diskdziņi, CD un DVD diskdziņi utt.) un USB pieslēgvietām, nepalīdzēs. Galu galā pirmie ir nepieciešami darbam, un otrajam ir pievienotas dažādas perifērijas ierīces: printeri, skeneri utt. Un neviens nevar liegt cilvēkam uz minūti izslēgt printeri, ievietot zibatmiņas disku atbrīvotajā portā un iekopēt tajā svarīgu informāciju. Protams, jūs varat atrast oriģinālus aizsardzības veidus. Piemēram, vienā bankā viņi izmēģināja šo problēmas risināšanas metodi: viņi aizpildīja USB porta un kabeļa savienojumu ar epoksīda sveķiem, cieši “piesaistot” pēdējo ar datoru. Bet, par laimi, mūsdienās ir daudz modernākas, uzticamākas un elastīgākas kontroles metodes.

Visefektīvākais līdzeklis ar iekšējām personām saistīto risku samazināšanai ir īpaša programmatūra, kas dinamiski pārvalda visas ierīces un datoru pieslēgvietas, kuras var izmantot informācijas kopēšanai. Viņu darba princips ir šāds. Atļaujas izmantot dažādus portus un ierīces tiek iestatītas katrai lietotāju grupai vai katram lietotājam atsevišķi. Šādas programmatūras lielākā priekšrocība ir elastība. Varat ievadīt ierobežojumus noteiktiem ierīču veidiem, to modeļiem un atsevišķiem gadījumiem. Tas ļauj ieviest ļoti sarežģītas politikas piekļuves tiesību sadalei.

Piemēram, dažiem darbiniekiem var atļaut izmantot jebkurus printerus un skenerus, kas pievienoti USB portiem. Visas pārējās šajā portā ievietotās ierīces paliks nepieejamas. Ja banka izmanto uz marķieriem balstītu lietotāju autentifikācijas sistēmu, tad iestatījumos var norādīt izmantoto atslēgas modeli. Tad lietotāji drīkstēs izmantot tikai uzņēmuma iegādātās ierīces, un visas pārējās būs nederīgas.

Pamatojoties uz iepriekš aprakstīto aizsardzības sistēmu darbības principu, jūs varat saprast, kādi punkti ir svarīgi, izvēloties programmas, kas ievieš ierakstīšanas ierīču un datoru portu dinamisku bloķēšanu. Pirmkārt, tā ir daudzpusība. Aizsardzības sistēmai jāaptver viss iespējamo portu un informācijas ievades-izvades ierīču klāsts. Pretējā gadījumā komerciālās informācijas zādzības risks saglabājas nepieņemami augsts. Otrkārt, attiecīgajai programmatūrai jābūt elastīgai un jāļauj izveidot noteikumus, izmantojot lielu daudzumu dažādas informācijas par ierīcēm: to tipiem, modeļu ražotājiem, unikāliem numuriem, kas ir katrai instancei utt. Un, treškārt, iekšējās informācijas aizsardzības sistēmai jāspēj integrēties ar bankas informācijas sistēmu, jo īpaši ar Active Directory. Pretējā gadījumā administratoram vai drošības darbiniekam būs jāuztur divas lietotāju un datoru datu bāzes, kas ir ne tikai neērti, bet arī palielina kļūdu risku.

Summējot

Tātad, šodien tirgū ir produkti, ar kuru palīdzību jebkura banka var izveidot uzticamu sistēmu informācijas aizsardzībai pret nesankcionētu piekļuvi un ļaunprātīgu izmantošanu. Tiesa, izvēloties tos, jābūt ļoti uzmanīgiem. Ideālā gadījumā to vajadzētu darīt atbilstoša līmeņa iekšējiem ekspertiem. Ir atļauta trešo pušu pakalpojumu izmantošana. Taču šajā gadījumā iespējama situācija, kad bankai prasmīgi uzliks nevis atbilstošu, bet piegādātāja uzņēmumam izdevīgu programmatūru. Turklāt vietējais informācijas drošības konsultāciju tirgus ir sākuma stadijā.

tikmēr dari pareizā izvēle diezgan viegli. Pietiek bruņoties ar mūsu uzskaitītajiem kritērijiem un rūpīgi izpētīt drošības sistēmu tirgu. Bet ir "slazds", kas ir jāatceras. Ideālā gadījumā bankas informācijas drošības sistēmai jābūt vienotai. Tas nozīmē, ka visām apakšsistēmām jābūt integrētām esošajā informācijas sistēmā un, vēlams, tām jābūt kopējai pārvaldībai. Pretējā gadījumā ir neizbēgamas paaugstinātas darbaspēka izmaksas aizsardzības administrēšanai un palielināti riski vadības kļūdu dēļ. Tāpēc, lai izveidotu visas trīs šodien aprakstītās aizsardzības apakšsistēmas, labāk izvēlēties produktus, ko izlaidis viens izstrādātājs. Mūsdienās Krievijā ir uzņēmumi, kas rada visu nepieciešamo, lai aizsargātu bankas informāciju no nesankcionētas piekļuves.

Volgas Valsts dienesta universitāte

Alshanskaya Tatjana Vladimirovna, pedagoģijas zinātņu kandidāte, Volgas reģiona Valsts dienesta universitātes Lietišķās informātikas katedras asociētā profesore

Anotācija:

Šis raksts atspoguļo vismodernākais banku sektora informācijas aizsardzības metodes un tās attīstības perspektīvas. Rakstā atklāti galvenie draudi banku informācijas drošībai. Doti informācijas aizsardzības pasākumi bankā, kas jāveic, lai izveidotu efektīvu aizsardzības sistēmu.

Šis raksts atspoguļo pašreizējo banku sektora informācijas aizsardzības metožu stāvokli un tā attīstības perspektīvas. Rakstā apskatīti galvenie draudi banku informācijas drošībai. Iepazīstina ar bankā esošās informācijas aizsardzības pasākumiem, kas veicami efektīvas aizsardzības sistēmas izveidei.

Atslēgvārdi:

banka; Informācijas drošība; datu aizsardzība.

drošības informācija; informācijas drošība.

UDK 338.14

Jebkuras bankas darbība ir tieši atkarīga no informācijas apmaiņas ātruma tajā un informācijas drošības sistēmas uzbūves. Neattīstītas banku infrastruktūras rezultāti ir katastrofāli: banka var zaudēt ne tikai savu klientu bāzi, bet arī viņu uzticību. Sastapšanās ar šo uzdevumu noveda pie jaunāko informācijas drošības koncepciju veidošanās, kas tika izstrādātas atbilstoši kredītiestāžu nosacījumiem. Līdz ar to informācijas drošības sistēmu izpēte banku sektorā ir neatliekams uzdevums.

Saskaņā ar Art. 19 Federālā likuma "Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību" 2006. gada 27. jūlija Nr. 149-FZ, informācijas aizsardzība ir juridisku, organizatorisku un tehnisku pasākumu pieņemšana, kuru mērķis ir nodrošināt informācijas aizsardzību pret nesankcionētu piekļuvi, iznīcināšanu. , pārveidošanu, bloķēšanu, kopēšanu, nodrošināšanu, izplatīšanu, kā arī no citām prettiesiskām darbībām saistībā ar šādu informāciju, saglabājot ierobežotas pieejamības informācijas konfidencialitāti, kā arī izmantojot tiesības piekļūt informācijai.

Banku datu aizsardzība ietver vienota pasākumu kompleksa ieviešanu – no informācijas drošības audita un līdz pat koncepciju veidošanai dažādu banku pakalpojumu aizsardzībai. Šīs jomas eksperti ir gatavi veidot tieši gan neatkarīgu drošības moduli, gan pilnīgu koncentrētu datu aizsardzības sistēmas koncepciju.

Informācijas drošības dienesta pamatfunkciju īstenošanas procesā rodas uzdevumi, kuru risinājums ir slikti formalizējams. Šajā gadījumā ir iespējams izmantot sistēmu teorijas un sistēmu analīzes metodes, kuru mērķis ir aktivizēt speciālistu intuīciju un pieredzi.

Viena no banku informācijas aizsardzības metodēm ir klasificētās informācijas caurlaides un reģistrācijas kontrole. Būtiskākā šajā problēmā ir ārkārtīgi drošu alternatīvu izveide failu apmaiņai bankā.

Bankas informācijas aizsardzībai tiek izmantoti identifikācijas jēdzieni, kas raksturo piekļuves tiesību pieejamību datiem. Šim nolūkam tiek izmantota paroļu sistēma, lai iekļūtu bankas lokālajā tīklā. Tos var izvēlēties lietotājs, ģenerēt sistēma vai piešķirt viņam drošības pārvaldnieks. Turklāt ir plastikāta piekļuves kartes ar mikroshēmu. Izmantojot īpašu algoritmu, sistēma kodē un ievada konkrēta lietotāja individuālos datus. Elektroniskās atslēgas iedarbojas, saskaroties ar mehānismu uz durvīm, kas uzstādītas slepenajās telpās, serveros un lietotāju datoros.

Bankas informācijas aizsardzība darbosies droši tikai tad, ja sistēma savlaicīgi atklās ārējos draudus. Ārējā vidē sistēmām ir kopīgi šādi informācijas draudu veidi, tabula. viens.

1. tabula. Informācijas apdraudējuma veidi ārējā vidē

	Draudi nosaukums	Raksturīgs
	fiziskās integritātes pārkāpums	iznīcināšana, elementu iznīcināšana
	loģiskās integritātes pārkāpums	loģisko savienojumu iznīcināšana
	satura modifikācija	informācijas bloku maiņa, nepatiesas informācijas ārēja uzspiešana
	privātuma pārkāpums	aizsardzības iznīcināšana, informācijas drošības pakāpes samazināšanās
	Autortiesību pārkāpums	neatļauta kopēšana

Uzņēmuma datu aizsardzības sistēmu plānošanai būtu jāpalīdz samazināt iespējamās negatīvās sekas, kas saistītas ar informācijas tehnoloģiju izmantošanu, un jānodrošina, ka ir iespējams sasniegt finanšu iestādes galvenos mērķus un uzdevumus. Modeļu veidošana, projektējot vai modernizējot datu aizsardzības sistēmu bankās, ir dabisks līdzeklis analīzes un projektēšanas problēmu risināšanai ar viszemākajām izmaksām un ievērojamu atdevi. Bankas izmanto informācijas drošības pārkāpēja modeli, kas ietver:

1. Informācijas drošības pārkāpēju apraksts;
2. Informācijas drošības pārkāpēju klasifikācija;
3. Pārkāpēju pieredzes un zināšanu apraksts;
4. Apdraudējuma īstenošanai nepieciešamo pieejamo resursu apraksts;
5. Pārkāpēja rīcības iespējamās motivācijas apraksts;
6. Veidi, kā īstenot apdraudējumu informācijas drošībai no šiem pārkāpējiem.

Pārkāpēja modeļa izveidošanai tiek izmantota informācija no drošības dienesta, riska nodaļām un bankas iekšējās kontroles dienesta par esošajiem informācijas piekļuves līdzekļiem un tās apstrādi, apm. iespējamie veidi datu pārtveršana pārraides, apstrādes un uzglabāšanas stadijā, par situāciju komandā un aizsardzības objektā, informācija par konkurentiem un situāciju tirgū, par notikušajiem informācijas zādzību gadījumiem u.c. .

Papildus tiek izvērtētas pārkāpēja reālās darbības tehniskās iespējas, lai ietekmētu aizsardzības vai aizsargājamā objekta koncepciju. Tehniskās iespējas tiek saprastas kā dažādu tehnisko līdzekļu saraksts, kas likumpārkāpējam var būt, veicot darbības, kas vērstas pret informācijas drošības sistēmu.

Noslēgumā jāatzīmē, ka modeļu efektīva izmantošana iespējama tikai ar kvalitatīviem sākuma datiem, kas nepieciešami modeļu aprakstīšanai, risinot aizsardzības problēmas. Šajā gadījumā nozīmīgs ir fakts, ka lielākajai daļai sākotnējo datu ir liela nenoteiktības pakāpe. Šī iemesla dēļ nepieciešams ne tikai ģenerēt nepieciešamos datus, bet arī tos regulāri izvērtēt un precizēt.

Bibliogrāfiskais saraksts:

1. Alshanskaya, T. V. Sistēmas analīzes metožu pielietojums, ko veic informācijas drošības speciālisti [Teksts] / T. V. Alshanskaya. Informācijas sistēmas un tehnoloģijas: vadība un drošība: Sest. Art. III Starptautiskā korespondences zinātniskā un praktiskā konference / Volgas valsts. ANO serviss. - Toljati: PVGUS izdevniecība, 2014. - 348 lpp.
2. Trofimova, V.V. Informācijas sistēmas un tehnoloģijas ekonomikā un vadībā [Teksts] / V.V. Trofimovs. M.: Yurayt, 2012. - 521 lpp.
3. Federālais likums "Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību" datēts ar 2006.gada 27.jūliju Nr.149-FZ

Bankas informācijas drošība- tas ir visu tās informācijas līdzekļu aizsardzības stāvoklis pret ārējiem un iekšējiem informācijas draudiem.

No bankas informācijas drošības ir atkarīga bankas reputācija un konkurētspēja. Bankas augstais informācijas drošības līmenis ļauj minimizēt riskus (8.4.1. tabula).

Informācijas drošības riski

8.4.1. tabula

1 Skatīt: Baņķieri atklāja jaunu krāpšanas shēmu līdzekļu izņemšanai no kontiem // RT News (krievu val.). 2016. gada 25. janvāris URL: https://russian.rt.com/article/144011 (piekļuves datums: 06.07.2016.).

Banku informācijas sistēmu iespējas: uzglabāt un apstrādāt lielu datu apjomu par finansiālais stāvoklis un fizisko un juridisko personu darbība; ir instrumenti, lai veiktu darījumus, kas rada finansiālas sekas. Informācijas sistēmas nevar būt pilnībā slēgtas, jo tām jāatbilst mūsdienu prasībām attiecībā uz apkalpošanas līmeni (jābūt internetbankas sistēmai, ar publiskajiem saziņas kanāliem pieslēgtam bankomātu tīklam u.c.). Šīs funkcijas noved pie tā, ka informācijas aktīvi kredītorganizācijas ir vēlams mērķis uzbrucējiem, un tiem nepieciešama nopietna aizsardzība.

Uzbrucēju galvenais uzdevums(ārējie pārkāpēji un iekšējās personas) uzbrūk banku informācijas sistēmām - kontroles iegūšana pār kredītiestādes informācijas aktīviem turpmākai nelikumīgu darījumu veikšanai vai bankas kompromitēšana pēc negodīgu konkurentu pasūtījuma.

Galvenās prasības banku informācijas drošības sistēmai ir norādītas tabulā. 8.4.2.

8.4.2. tabula

Prasības banku informācijas drošības sistēmai

Prasību nosaukums	Prasību raksturojums
Atbilstība	Esiet adekvāts iekšējiem un ārējiem draudiem
Sarežģīta pieeja	Īstenot integrētu pieeju aizsardzībai - iekļaut visus nepieciešamos organizatoriskos pasākumus un tehniskos risinājumus un aizsargāt visas IS sastāvdaļas (elektroniskās norēķinu sistēmas, elektronisko dokumentu pārvaldības un maksājumu karšu pakalpojumi, banku programmatūra un programmatūras un aparatūras sistēmas, attālinātās apkalpošanas sistēmas, sakaru tīkli utt.). ).)
sniegumu	Nodrošiniet augstu veiktspēju – apstrādājiet ievērojamu daudzumu informācijas, nepalēninot veiktspēju
Uzticamība un kļūdu tolerance	Esiet uzticams un izturīgs pret defektiem, izmantojot klasterizāciju, virtualizāciju, slodzes līdzsvarošanas tehnoloģijas utt.
Ir instrumenti	Ir rīki incidentu datu vākšanai, analīzei un reaģēšanai uz drošības notikumiem

Šobrīd Krievijas kredītiestādēm ir aktuāli informācijas drošības standarti: Krievijas Bankas standarts; federālais likums"Par personas datiem"; Informācijas drošības standarts maksājumu karšu nozarei.

Vairāku IS standartu prasību izpilde vienlaikus viena projekta ietvaros ļauj pasūtītājam: izveidot integrētu un viegli pārvaldāmu informācijas drošības sistēmu, nedublēt tehniskos līdzekļus un organizatoriskos pasākumus, kas vērsti uz standartu prasību izpildi, un samazināt pašizmaksu. projektēšanas darbiem.

Pastāv komercbanku drošības koncepcija, apstiprinājusi Krievijas Banku asociācijas padome (ARB).

Objekti informācijas drošība ir: informācijas resursi (informācija ar ierobežotu piekļuvi, kas veido komercnoslēpumu, cita konfidenciāla informācija, kas sniegta dokumentu un masīvu veidā, neatkarīgi no to sniegšanas formas un veida). Priekšmeti tiesiskās attiecības informācijas drošības problēmas risināšanā ir: valsts (Krievijas Federācija) kā valsts noslēpumam klasificēto informācijas resursu īpašniece; centrālā banka Krievijas Federācija, kas īsteno valsts monetāro politiku; komercbanka kā entītija, kas ir dienesta, komercnoslēpumu un banku noslēpumu veidojošo informācijas resursu īpašnieks.

Informācijas drošības sistēmas galvenais mērķis ir nodrošināt stabilu bankas darbību un tās drošības apdraudējumu novēršanu, aizsardzību pret oficiālās informācijas izpaušanu, nozaudēšanu, nopludināšanu, sagrozīšanu un iznīcināšanu, tehnisko līdzekļu darbības traucējumiem, ražošanas darbību, tajā skaitā informatizācijas līdzekļu, nodrošināšanu. Informācijas drošības uzdevumi ir:

• - informācijas klasificēšana ierobežotas pieejamības kategorijā (valsts, dienesta, banku un komercnoslēpumi, cita konfidenciāla informācija, kas ir aizsargāta pret ļaunprātīgu izmantošanu);
• - mehānisma un apstākļu radīšana operatīvai reaģēšanai uz drošības apdraudējumiem un negatīvo tendenču izpausmēm bankas darbībā.

Informācijas drošības sistēmas organizācijas un darbības principi.

• - nodrošinot informācijas resursu drošību visā to laikā dzīves cikls, visos to apstrādes un izmantošanas tehnoloģiskajos posmos visos darbības režīmos;
• - sistēmas spēja attīstīties un pilnveidoties atbilstoši izmaiņām bankas darbības apstākļos.

Likumības princips ietver drošības sistēmas izstrādi, pamatojoties uz federālajiem tiesību aktiem banku darbības, informatizācijas un informācijas aizsardzības, privātās drošības darbību un citu drošības noteikumu jomā. Informācijas drošības aizsardzības objekti”.

• - informācijas resursi ar ierobežotu piekļuvi, kas veido dienesta un komercnoslēpumus, kā arī cita konfidenciāla informācija uz papīra, magnētiska, optiskā pamata, informācijas masīvi un datu bāzes, programmatūra;
• - informatizācijas līdzekļi un sistēmas (dažādu līmeņu un mērķu automatizētās sistēmas un datortīkli, telegrāfa, telefona, faksimila, radio un kosmosa sakaru līnijas, informācijas pārraides tehniskie līdzekļi, informācijas reproducēšanas un attēlošanas līdzekļi);
• - tehniskie līdzekļi un sistēmas materiālo un informācijas resursu aizsardzībai un aizsardzībai.

Apdraudējums informācijas resursiem parādās šādā formā:

• - konfidenciālas informācijas izpaušana;
• - konfidenciālas informācijas noplūde, izmantojot tehniskus līdzekļus cita veida ražošanas darbību nodrošināšanai;
• - konkurējošu organizāciju un noziedzīgu veidojumu nesankcionēta piekļuve aizsargātai informācijai (8.4.3. tabula).

8.4.3. tabula

Veidi, kā īstenot draudus banku informācijas resursiem

Apdraudējuma ceļu nosaukums	Draudu īstenošanas veidu raksturojums
Neoficiāla piekļuve	neformālu piekļuvi un konfidenciālas informācijas izņemšanu
Personu uzpirkšana	piekukuļojot bankā vai ar tās darbību tieši saistītās struktūrās strādājošas personas
Informācijas pārtveršana	pārtverot komunikāciju un datortehnoloģiju līdzekļos un sistēmās cirkulējošo informāciju ar informācijas izlūkošanas un izguves tehnisko līdzekļu palīdzību, nesankcionētu piekļuvi informācijai un apzinātu programmatūru un matemātisku ietekmi uz to apstrādes un uzglabāšanas laikā
Sarunu noklausīšanās	noklausoties konfidenciālas sarunas, kas notiek biroja telpās, dienesta un privātajos transportlīdzekļos, dzīvokļos un kotedžās

Tabulas beigas. 8.4.3

Komercbanku resursu informācijas drošības nodrošināšanas galvenās sastāvdaļas ir: informācijas resursu drošības sistēma; iespējamo informācijas noplūdes kanālu drošības un kontroles pasākumu sistēma (režīms).

Informācijas resursu drošības sistēma jāparedz organizatorisku, tehnisko, programmatūras un kriptogrāfijas rīku un pasākumu kopums informācijas aizsardzībai tradicionālās dokumentu pārvaldības procesā, kad izpildītāji strādā ar konfidenciāliem dokumentiem un informāciju, apstrādājot informāciju dažāda līmeņa un mērķu automatizētās sistēmās, pārsūtot saziņas kanāliem, veicot konfidenciālas sarunas.

Kurā informācijas drošības nodrošināšanas tehniskās politikas īstenošanas galvenie virzienišajās darbības jomās ir:

• - informācijas resursu aizsardzība pret zādzībām, nozaudēšanu, iznīcināšanu, izpaušanu, noplūdi, sagrozīšanu un viltošanu nesankcionētas piekļuves (UAS) un specefektu dēļ;
• - informācijas aizsardzība pret noplūdēm, ko izraisa akustiskā un viltus elektromagnētiskā starojuma un elektromagnētiskā starojuma un traucējumu (PEMIN) radītie fizikālie lauki elektriskajos nolūkos, cauruļvados un būvkonstrukcijās (8.4.4. tabula).

8.4.4. tabula

Pasākumi komercbankas informācijas drošības tehniskās politikas īstenošanai

Tabulas beigas. 8.4.4

Vārds aktivitātes	Notikumu raksturojums
Izpildītāju piekļuves diferencēšana	lietotāju piekļuves diferencēšana dažādu līmeņu un mērķu automatizēto sistēmu datiem
Dokumentu uzskaite	dokumentu, informācijas masīvu uzskaite, informācijas sistēmu lietotāju darbību uzskaite, nesankcionētas piekļuves un lietotāju darbību kontrole
Kriptogrāfija transformācija informāciju	ar datortehnoloģiju un sakaru līdzekļiem apstrādātas un pārsūtītas informācijas kriptogrāfiska transformācija
Informācijas satura līmeņa samazināšana	PEMIN (blakus elektromagnētiskais starojums un traucējumi) līmeņa un informācijas satura samazināšana, ko rada dažādi ražošanas darbību nodrošināšanas tehnisko līdzekļu elementi un automatizētās informācijas sistēmas
Akustiskā samazināšana	akustiskā starojuma līmeņa samazināšana
Strāvas ķēžu elektriskā izolācija	barošanas avota elektriskā izolācija, zemējums un citas tehnisko līdzekļu ķēdes, kas pārsniedz kontrolēto zonu
skaļš	aktīvs troksnis dažādos diapazonos
Optiskie pretpasākumi	pretdarbība optiskajiem un lāzera novērošanas līdzekļiem
Grāmatzīmju pārbaude	tehnisko līdzekļu un informatizācijas objektu pārbaude, lai identificētu tajos iekļautās iegultās ierīces
Vīrusu pretpasākumi	vīrusu programmu ieviešanas novēršana automatizētajās informācijas sistēmās

Informācijas resursu aizsardzībai pret nesankcionētu piekļuvi jāietver šādi pasākumi (8.4.5. tabula).

8.4.5. tabula

Veidi, kā aizsargāties pret draudiem banku informācijas resursiem

Tabulas beigas. 8.4.5

Aizsardzības pasākumu nosaukums	Aizsardzības pasākumu raksturojums
uzglabāšanas uzticamība	kad dokumenti (informācijas nesēji, informācijas masīvi) tiek glabāti apstākļos, kas izslēdz nesankcionētu piekļuvi tiem, to iznīcināšanu, viltošanu vai sagrozīšanu
demarkācija informāciju	atbilstoši konfidencialitātes līmenim, kas sastāv no augstāka konfidencialitātes līmeņa informācijas norādīšanas nepieļaušanas dokumentos (informācijas nesējos, informācijas masīvos) ar zemāku konfidencialitātes līmeni, kā arī nepieļaujot konfidenciālas informācijas pārsūtīšanu pa nenodrošinātām sakaru līnijām.
Izpildītāja kontrole	izpildītāju (lietotāju) darbību kontrole ar dokumentāciju un informāciju, kā arī automatizētās sistēmās un sakaru sistēmās
Informācijas tīrīšana	RAM attīrīšana (nulles iestatīšana, informācijas satura izslēgšana), buferi, kad lietotājs atbrīvo pirms šo resursu pārdales starp citiem lietotājiem
Vides integritāte	tehniskās un programmatūras vides, informācijas un aizsardzības līdzekļu integritāte, kas sastāv no informatizācijas rīku fiziskās drošības, programmatūras vides, ko nosaka nodrošinātā informācijas apstrādes tehnoloģija, noteikto funkciju izpildi ar aizsardzības līdzekļiem, izolāciju aizsardzības rīki no lietotājiem

Noteikumi par personiskā atbildībaīstenots ar: krāsotāju krāsošanu žurnālos, grāmatvedības kartēs, citās atļaujās, kā arī uz pašiem dokumentiem; individuālā lietotāju un to iniciēto procesu identificēšana automatizētajās sistēmās; izpildītāju (lietotāju) autentifikācija (autentifikācija), pamatojoties uz paroļu, atslēgu, magnētisko karšu, digitālo parakstu, kā arī biometrisko personības pazīmju izmantošanu gan piekļūstot automatizētajām sistēmām, gan piešķirtajām telpām (zonām).

Izpildītāju darbību uzraudzības sistēma tiek īstenots ar: organizatorisko kontroles pasākumu palīdzību, izpildītājiem strādājot ar konfidenciāliem dokumentiem un informāciju; lietotāja darbību reģistrācija ar automatizēto sistēmu informācijas un programmatūras resursiem, norādot datumu un laiku; pieprasītāja un pieprasīto resursu identifikatori;

mijiedarbības veids un rezultāts, tostarp aizliegti piekļuves mēģinājumi; trauksmes signāli par lietotāju neatļautām darbībām.

Informācijas aizsardzība pret noplūdi viltus elektromagnētiskā starojuma un traucējumu (PEMIN) dēļ. Galvenais informācijas aizsardzības pret PEMIN izraisītās noplūdes virziens ir samazināt informatīvā signāla attiecību pret traucējumiem līdz robežai, ko nosaka "Standarti automatizēto vadības sistēmu un datoru aizsardzības efektivitātei pret informācijas noplūdi PEMIN dēļ", pie kura ziņojuma. atveseļošanās kļūst principiāli neiespējama. Šīs problēmas risinājums tiek panākts gan samazinot informācijas signālu starojuma līmeni, gan palielinot traucējumu līmeni attiecīgajos frekvenču diapazonos.

Kvalitātes nodrošināšana drošības sistēmā. Drošības sistēmas nepieciešamajai sastāvdaļai jābūt darba kvalitātes nodrošināšanai un izmantotajiem aizsardzības līdzekļiem un pasākumiem, kuru normatīvais regulējums ir standartu sistēma un citi normatīvie, tehniskie un metodiskie dokumenti (NTD) par drošību.

Kopā ar standartizācijas sistēmu vienota sistēma nodrošināt produktu un pakalpojumu kvalitāti saskaņā ar informācijas drošības prasībām ir:

• - datortehnoloģiju un sakaru līdzekļu un sistēmu sertifikācija atbilstoši informācijas drošības prasībām;
• - pakalpojumu sniegšanas darbību licencēšana informācijas drošības jomā;
• - informātikas objektu sertifikācija atbilstoši informācijas drošības prasībām.

Saskaņā ar šo sistēmu prasībām tiesības sniegt pakalpojumus trešajām personām informācijas drošības jomā ir tikai tām organizācijām, kurām ir atļauja (licence) šāda veida darbībai.

Informācijas drošības nodrošināšanai tiek izmantotas metodes, lai apkarotu tādus interneta krāpšanas veidus kā pikšķerēšana un naudas zagšanas metode, izmantojot bezkontakta tehnoloģijas.

Cīņa pret pikšķerēšanu ietver dažādas metodes, tostarp likumdošanas un īpašas metodes, kas izveidotas aizsardzībai pret pikšķerēšanu:

• - lietotāju izglītošana - iemāciet cilvēkiem atpazīt pikšķerēšanu un rīkoties ar to, piemēram, sazinieties ar uzņēmumu, kura vārdā tika nosūtīts ziņojums, lai pārbaudītu tā autentiskumu. Speciālisti iesaka pašam ievadīt organizācijas tīmekļa adresi pārlūkprogrammas adreses joslā, nevis izmantot jebkādas hipersaites aizdomīgā ziņojumā;
• - tehniskās metodes; Pārlūkprogrammas brīdina par pikšķerēšanas draudiem autorizācijas procedūras sarežģītība, kad vietne aicina lietotājus izvēlēties personīgo attēlu un parāda to katrā paroles ievades veidlapā. Un lietotāji banku pakalpojumi viņiem jāievada parole tikai tad, kad viņi redz izvēlēto attēlu;
• - cīņa pret pikšķerēšanu e-pasta ziņojumos ietver lietotāju saņemto pikšķerēšanas e-pastu skaita samazināšanu;
• - uzraudzības pakalpojumi: daži uzņēmumi piedāvā bankām, kas ir potenciāli uzņēmīgas pret pikšķerēšanas uzbrukumiem, diennakts uzraudzību, analīzi un palīdzību pikšķerēšanas vietņu slēgšanā. Privātpersonas var palīdzēt šīm grupām, ziņojot par pikšķerēšanas gadījumiem;
• - juridiski pasākumi, tomēr eksperti uzskata, ka Krievijā ir vislojālākā likumdošana kibernoziedzības jomā.

AT Parādījās Krievija jauns krāpšanas veids - naudas zādzība no kartēm,

aprīkots ar speciālām tehnoloģijām bezkontakta apmaksai par precēm (karte ir pievienota PoS terminālim, pirkuma summa tiek ieturēta no "plastmasas"). Pēc Zecurion teiktā, 2015. gadā krāpnieki no Krievijas kartēm, izmantojot viņu pašu izgatavotos termināļus (RFID lasītājus), nozaga 2 miljonus rubļu. Uzņēmumi, kas specializējas IT drošībā, atzīmēja, ka krāpnieki ir iemācījušies zagt no kartēm, izmantojot viedtālruņus, kas aprīkoti ar NFC mikroshēmām (NFC ir RFID veids).

Tehnoloģijas bezkontakta norēķiniem par precēm izstrādāja amerikāņu maksājums Vīzu sistēmas(PayWave) un Mastercard (PayPass), lai paātrinātu un vienkāršotu bezskaidras naudas norēķinus par pirkumiem. PayPass kartes izsniedz 43 lielie Krievijas banka, kartes ar Pay Wave - 16. PayPass un Pay Wave tehnoloģijas tiek izmantotas kartēs ar mikroshēmu un magnētisko joslu. Maksājot ar šādu karti, nav jāievada PIN kods, kā arī jāliek paraksts uz čeka, ja pirkuma summa ir neliela (līdz 1 tūkstotim rubļu). Krievijā ir vairāk nekā 30 000 PayPass pieņemšanas punktu: transporta, tirdzniecības un pakalpojumu uzņēmumi.

Shēmas būtība ir līdzīga automašīnu zagļu elektriskās bloķēšanas signālu pārtveršanai. Pēc Zecurion teiktā, līdzekļi no PayPass kartes un PayWave iekasē krāpnieki, izmantojot paštaisītus lasītājus, kas spēj skenēt bankas kartes ar RFID mikroshēmām. Kopumā tie ir likumīgu bezkontakta PoS termināļu analogi: RFID lasītāji, kas sūta elektromagnētiskos signālus No plastikāta kartēm viņi sāka zagt naudu "pa gaisu". pravda-tv.ru>2016/01/25/203507/s-plastikovyh-kart