≡× МЕНЮ

• Бинбанк
• Възраждането
• Интернет банки
• Търговия
• Лявата банка

Защита на информацията в банките. Правно основание за предоставяне на информационна сигурност в банковия сектор. Създайте резервни копия

Информационна сигурност на банката- Това е състояние на защита на всичките му информационни активи от външни и вътрешни информационни заплахи.

От информационната сигурност на банката зависи от нейната репутация и конкурентоспособност. Високото ниво на информационна сигурност на банката ви позволява да минимизирате рисковете (Таблица 8.4.1).

Рискове за информационна сигурност

Таблица 8.4.1.

1 Виж: Банкерите са изложени нова схема Измами за сключване на средства от сметките // RT News (на руски). 2016.25 януари. URL адрес: https://russian.rt.com/article/144011 (дата на обработка: 06/07/2016).

Характеристики на банковите информационни системи: съхранявайте и се справят с голямо количество данни финансово състояние и дейностите на физически и юридически лица; Имат инструменти за извършване на сделки, водещи до финансови последици. Информационните системи не могат да бъдат напълно затворени, защото трябва да отговорят съвременни изисквания На ниво обслужване (има онлайн банкова система, мрежа от банкомати, свързани с канали за обществени комуникации и др.). Тези характеристики водят до факта, че информационните активи на кредитните институции са желаната цел на нападателите и се нуждаят от сериозна защита.

Основната задача на маликементи (Външни нарушители и вътрешни лица) Атакуване на информационни системи на банки - за получаване на контрол върху информационните активи на кредитната институция за последващо ангажиране на незаконни сделки или компрометиране на банката за заповед на нелоялни конкуренти.

Основните изисквания за системата за информационна сигурност на банките са изложени и раздел. 8.4.2.

Таблица 8.4.2.

Изисквания за системата за информационна сигурност на банките

Име на изискванията	Характеристики на изискванията
Адекватност	Да бъдат адекватни вътрешни и външни заплахи
Комплексен подход	Прилагане на цялостен подход за защита - включва всички необходими организационни мерки и технически решения и защита на всички IC компоненти (електронни платежни системи, \\ t електронно управление на документи и платежни карти за услуги, банков софтуер и софтуерни и технически комплекси, отдалечени сервизни системи, комуникационни мрежи и др.)
производителност	Осигуряват висока производителност - обработват значителни количества информация, без да се намалява скоростта
Надеждност и толерантност на грешки	Да бъдеш надежден и толерантен за неизправност благодарение на използването на технологии за групиране, виртуализация, балансиране на натоварването и т.н.
Имат инструменти	Имат инструменти за събиране, анализ на данни за инциденти и отговаряне на събития за безопасност

Понастоящем съществуват стандарти за информационна сигурност, свързани с руските кредитни институции: стандарта на Банката на Русия; Федерален закон "на лични данни"; Стандарт за защита на информацията в индустрията за платежни карти.

Изпълнението на изискванията на няколко стандарти на IB в рамките на един проект позволява на клиента: създаване на холистична и лесно управляема система за информационна сигурност, не дублира техническите средства и организационни мерки, насочени към изпълнение на изискванията на стандартите, намаляване на разходите по проекта.

Съществува концепция за търговска банка,одобрен от Съвета на Асоциацията на руските банки (ARB).

Предмети Информационната сигурност са: Информационни ресурси (информация с ограничен достъп, който съставлява търговска тайна, друга поверителна информация, предоставена под формата на документи и масиви, независимо от формата и видовете от тяхното предоставяне). Субекти Правни отношения при решаването на проблема с информационната сигурност са: държавата (Руската федерация) като собственик на информационни ресурси, възложени на категорията на държавните тайни; Централна банка на Руската федерация Упражнение паричната политика държави; търговска банка като подчинение, който е собственик на информационните ресурси, които съставляват услугата, търговската и банковата тайна.

Основната цел на системата за информационна сигурност Тя е да се осигури устойчиво функциониране на Банката и да се предотврати заплахата за безопасността, защитата срещу оповестяване, загуба, изтичане, изкривяване и унищожаване на официална информация, нарушения на технически средства, осигуряване на производствени дейности, включително информационни инструменти. Задачи за информационна сигурност са:

• - присвояване на информация на категория ограничен достъп (държавна, услуга, банкови и търговски тайни, друга поверителна информация, която да бъде защитена от незаконно използване;
• - създаване на механизъм и условия за оперативен отговор на заплахите за безопасност и проявление на негативни тенденции във функционирането на банката.

Принципи на организацията и функционирането на системата за информационна сигурност.

• - осигуряване на безопасността на информационните ресурси в тях кръговат на животана всички технологични етапи на тяхната обработка и използване при всички начини на действие;
• - способността на системата да се развива и подобрява в съответствие с промените в условията на функционирането на банката.

Принцип на законност Осигурява разработването на система за сигурност, основана на федералното законодателство в областта на банкови дейности, информатизация и защита на информацията, частната сигурност и други правила за безопасност. Информационни обекти за сигурност. "

• - информационни ресурси с ограничен достъп, представляващ услуга и търговски тайни, както и друга поверителна информация за хартиен, магнитни, оптични, информационни масиви и бази данни, софтуер;
• - средства и системи за информатизация (автоматизирани системи и изчислителни мрежи от различни нива и дестинация, телеграф, телеграф, телефон, факс, радио и космически комуникация, технически средства за предаване на информация, средства за възпроизвеждане и информация за показване);
• - технически средства и системи за защита и защита на материалните и информационните ресурси.

Заплахи от информационни ресурси Манифест във формата:

• - разкриване на поверителна информация;
• - изтичане на поверителна информация чрез технически средства за гарантиране на производствените дейности от различни природа;
• - Неоторизиран достъп до защитена информация от конкурентни организации и наказателни образувания (Таблица 8.4.3).

Таблица 8.4.3.

Начини за извършване на заплахи за информационните ресурси на банките

Име на пътниците	Характеристики на заплахите
Неофициален достъп	чрез неофициален достъп и премахване на поверителна информация
Подкуп	чрез подкупване на лица, работещи в банка или структури, пряко свързани с неговите дейности
Прихващане на информация	чрез прихващане на информация, циркулираща в средствата и комуникационните системи и компютърно оборудване, използвайки технически средства за интелигентност и информация за премахване, неоторизиран достъп до информация и умишлено софтуер и математически въздействия върху нея по време на обработката и съхранението.
Слушане на разговори	чрез слушане на поверителни преговори в офис площи, сервизни и лични превозни средства, апартаменти и села

Крайна маса. 8.4.3.

Основните компоненти на информационната сигурност на ресурсите на търговските банки са: системата за сигурност на информационните ресурси; Система от мерки (режим) на безопасността и контрола на вероятните канали за изтичане на информация.

Система за безопасност на информацията Трябва да има комплекс от организационни, технически, софтуерни и криптографски наркотици и мерки за защита на информацията в процеса на традиционен работен процес по време на експлоатацията на изпълнителите с поверителни документи и информация при обработката на информация в автоматизирани системиaH е различно ниво и дестинация, когато се предават чрез комуникационни канали, при извършване на поверителни преговори.

Където основните направления за прилагането на политиката за техническа информация В тези области на дейност са:

• - защита на информационните ресурси от кражба, загуба, унищожаване, оповестяване, изтичане, изкривяване и фалшификации поради неразрешен достъп (НСД) и специални въздействия;
• - защита на информацията от изтичане поради наличието на физически полета поради акустична и странична електромагнитна радиация и преобръщане (пемин) върху електрически цели, тръбопроводи и строителство на сгради (Таблица 8.4.4).

Таблица 8.4.4.

Събития от техническата политика на информационната сигурност на търговската банка

Крайна маса. 8.4.4.

Име събития	Характеристика на събитията
Диференциация на достъпа на художника	диференциране на потребителите на потребителите към автоматизирани системи с различни нива и дестинация
Счетоводство за документи	отчитане на документите, информационни масиви, регистрация на действията на потребителите на информационни системи, контрол на неоторизиран достъп и действия на потребителите
Криптографски преобразуване информация	криптографска трансформация на информацията, обработена и предавана чрез изчислително оборудване и комуникация
Намаляване на нивото на информативност	намаляване на нивото и интелигентоспособността на пемин (странично електромагнитно излъчване и върха), създадени от различни елементи на технически средства за осигуряване на производствени дейности и автоматизирани информационни системи
Намаляване на нивото на акустиката	намаляване на нивото на акустична радиация
Електрическа енергия	електрическо дисекция на захранване, заземяване и други вериги от технически средства, оставяйки външна контролирана територия
Шум	активна ръкав в различни ленти
Противодействие на оптични средства	противодействие на оптични и лазерни наблюдения
Проверете отметките	проверка на техническите средства и информатизационни обекти за идентифициране на включените в тях ипотечни устройства
Противодействие на вирусите	предотвратяване на въвеждането на вирусен характер в автоматизирани информационни системи

Защитата на информационните ресурси от неоторизиран достъп следва да включва следните мерки (Таблица 8.4.5).

Таблица 8.4.5.

Начини за защита срещу заплахи за информационните ресурси на банките

Крайна маса. 8.4.5.

Име на защитните мерки	Характеристики на защитните мерки
надеждност на съхранението	когато документите (информационни носители, информационни масиви) се съхраняват в условия, които изключват неразрешено запознаване с тях, тяхното унищожаване, фалшив или изкривяване
diaMendence. информация	по отношение на неприкосновеността на личния живот, която се състои в предотвратяване на показанията на по-високо ниво на поверителност в документите (информационни носители, информационни масиви) с по-ниско ниво на неприкосновеност на личния живот, както и предотвратяване на поверителна информация за незащитените комуникационни линии
Контрол на контрола	контрол на действията на изпълнителите (потребители) с документация и информация, както и в автоматизирани комуникационни системи и комуникационни системи
Клирингова информация	почистване (нулиране, изключване на информативни) RAM, буфери, когато потребителят се освободи за преразпределение на тези ресурси между други потребители
Целостта на околната среда	целостта на техническата и софтуерната среда, информацията и средствата за защита, която се състои във физическата безопасност на информационните инструменти, софтуерната среда, определена от технологията за обработка на информацията, отговаря на инструментите за защита, предоставени от предоставените функции, изолиране на средствата защита срещу потребители

Регламент О. лична отговорност Той се прилага с помощта на: Изпълнители в списания, счетоводни карти, други разрешителни, както и върху самите документи; индивидуална идентификация на потребителите и процесите, инициирани от тях в автоматизирани системи; Удостоверяване (удостоверяване) на изпълнителите (потребители) въз основа на използването на пароли, ключове, магнитни карти, цифров подпис, както и биометричните характеристики на личността както при достъп до автоматизирани системи и в осветените стаи (зони).

Изпълнителна система за контрол на действията Той се прилага с помощта на: организационни мерки за контрол в работата на изпълнителите с поверителни документи и информация; Регистрация на действия на потребителите с информационни и софтуерни ресурси на автоматизирани системи, показващи датата и часа; Идентификатори на искане и поискани ресурси;

вид взаимодействие и резултат, включително забранени опити за достъп; Аларми за неупълномощени действия на потребителя.

Защита на информацията от изтичане Поради страничните електромагнитни емисии и натискане (пемин). Основната посока на защита на информацията от течове, дължаща се на пемин, е да се намали съотношението на информационен сигнал до намеса до границата, определена от стандартите "ACS и компютърна защита" за изтичането на информация поради памин, "в което възстановяването на съобщенията става фундаментално невъзможно. Решението на този проблем се постига като намаление на нивото на излъчване на информационни сигнали и увеличаване на нивото на смущения в съответните честотни ленти.

Осигуряване на качеството в системата за сигурност. Необходим компонент на системата за сигурност следва да бъде да се гарантира качеството на работата и използваните средства и за защитните мерки, чиято регулаторна рамка е системата от стандарти и други регулаторни за ориентиране и методологически документи (NTD) относно сигурността.

В съвкупност със система за стандартизация единна система Желание за качество и услуги на продукта Според информационната сигурност, информацията е:

• - сертифициране на средства и системи за компютърно оборудване и комуникация за изискванията за безопасност на информацията;
• - лицензиране на информационни услуги в областта на информационната защита;
• - сертифициране на компютърни науки в съответствие с изискванията за безопасност на информацията.

В съответствие с изискванията на тези системи правото на предоставяне на услуги на организации за информационна сигурност на трети страни се предоставят само на организации, които имат разрешение (лиценз) за този вид дейност.

За да се гарантира сигурността на информацията, използва методи за борба с такива видове интернет измами като фишинг и начин на присвояване на пари, използвайки безконтактни технологии.

Борбата фишинг осигурява различни методи, включително законодателни и специални, създадени за защита срещу фишинг:

• - Обучение на потребителите - да научи хората да разграничават фишинг и да се бият с него, например, да се свържат с компанията, от името, от което е изпратено съобщение, за да провери нейната автентичност. Експертите препоръчват самостоятелно въвеждане на уеб адреса на организацията към адресната лента на браузъра, вместо да използват всякакви хипервръзки в подозрително съобщение;
• - технически методи; Браузърите предупреждават за заплахата от фишинг; Усложняване на процедурата за разрешаване Когато сайтът предлага на потребителите да изберат лично изображение и да го показват с всяка форма на въвеждане на парола. И потребители банкови услуги Трябва да въведете парола само когато видите избраното изображение;
• - борбата срещу фишинг в пощенските доклади предвижда намаляване на броя на електронните съобщения, получени от потребителите;
• - Услуги за мониторинг: Някои компании предлагат банки, потенциално подлежат на фишинг атаки, 24-часови контролни услуги, анализ и помощ при затваряне на фишинг сайтове. Физическите лица могат да помогнат на такива групи, да докладват за случаите на фишинг;
• - Правни мерки, обаче, експерти смятат, че в Русия най-лоялното законодателство към киберпрестъпността.

ВСе появи Русия новия вид Измама - кражба на пари от карти,

оборудван със специални технологии за безконтактно плащане на стоки (картата се прилага към ПОС терминала, сумата за покупка се отписва от "пластмаса"). Според Zecurion, през 2015 г., измамниците са били откраднати от руснаците с техните домашни терминали (RFID читатели) 2 милиона рубли. Фирми, специализирани в ИТ сигурността, отбелязаха, че измамниците се научиха да крадат от карти с помощта на смартфони, оборудвани с NFC чипове (NFC - тип RFID).

Безконтактните технологични продукти са проектирани от American Visa и MasterCard (Paypass) и MasterCard (Paypass) за ускоряване и опростяване на безкасови плащания. Карти с PayPass технология произвеждат 43 големи руски банки, карти с платена вълна - 16. Paypass и Pay Wave Technologies се прилагат на карти с чип и магнитна лента. Когато изчислявате такава карта, не е необходимо да въвеждате ПИН код, както и да поставите подписа на проверката, ако сумата на покупката е малка (до 1 000 рубли). В Русия, повече от 30 хиляди точки за приемане: Предприятия по транспорт, търговия, услуги.

Същността на схемата е подобна на прихващането на сигналите на електротетбол с колите похитители. Както се съобщава в Zecurion, средствата от Paypass и Paywave картите се отписват от измамници, използващи домашни читатели, способни да сканират банкови карти С RFID чипове. Като цяло, това са аналози на правни безконтактни POS терминали: RFID читатели изпращат електромагнитни сигнали с пластмасови карти Започна да покани пари "по въздух". pravda-tv.ru\u003e 2016/01/25 / 203507 / s-plastikovyh-kart

В банкиране Първоначално имаше проблем, свързан с поверителността на информацията, нейното съхранение и защита. Сигурност на тези банкови институции играят важна роля В бизнеса, тъй като конкурентите и престъпниците винаги се интересуват от такава информация и правят всички усилия да го постигнат. За да се избегнат такива проблеми, е необходимо да се научат да защитават банковите данни. Защитавам банкова информация Необходимо е да бъдем ефективни, на първо място, да вземем предвид всички възможни начини за изтичане на информация. А именно: внимателно да проверите тези хора по време на избора на рамки, проверете техните биографични данни и предишни работни места.

Информационна сигурност на банковите институции

Всички информационни данни при обработката на банкови и кредитни институции са изложени на риск. Това са и данните на клиентите и данните за пряката работа на банките, техните бази данни и т.н. Факт е, че такава информация може да бъде полезна както на конкурентите, така и индивидиангажирани в престъпни дейности. Техните действия, в сравнение с проблемите, произтичащи от повредата на вируса на оборудването или неуспехите на операционните системи, носят наистина огромни щети на организациите от този вид.

Защитата на банковите сървъри и местните мрежи от натрапници и неоторизиран достъп до материалите на компанията е просто необходим в лицето на тежка конкуренция на съвременното общество.

Информационната сигурност на банковите системи е важна, тъй като гарантира спазването на поверителността на данните за клиентите на банките. Провеждане на ежедневни резервни копия, които се извършват от организации, намалява риска от пълна загуба на важна информация. Освен това са разработени методи за защита на данни от заплахи, свързани с неразрешен достъп. Течът на този вид информация може да възникне в резултат на работата като шпионски софтуер, който е специално изпратен на организацията и служителите, които отдавна са работили и вземат решения за присвояването на информацията за банката. Безопасността се осигурява от работата на професионалистите и специалистите, които познават бизнеса си.

Защитата на клиентите е един от най-важните показатели, засягащи репутацията на банката като цяло, включително доходите на организацията. Тъй като само добрите отзиви ще помогнат на банката да излезе високо ниво Поддръжка и байпас конкуренти.

Неоторизиран достъп до информация за банковите системи

Един от най-честите начини за кражба на банкова информация е да се използва резервно копие, прехвърляне на данни на превозвач или имитация на хакерство, но не и за кражба на материални инструменти и достъп до информация на сървъра. Тъй като резервните копия обикновено се съхраняват в реда на отделни места, след това по време на транспортирането до местоназначението можете да направите копия. Ето защо служителите, които приемат такава работа, са внимателно проверени чрез различни държавни органи За наличието на криминално досие, проблеми със закона в миналото, включително точността на информацията, предоставена за себе си. Следователно не е необходимо да се подценява тази възможност за кражба на банкова информация, защото световната практика е пестност с такива случаи.

Например през 2005 г. базата данни за командироване е на разположение за продажба Централна банка Руска федерация. Възможно е тази информация да изтече извън банковата организация именно поради недостатъчната сигурност на банковите системи. Подобна ситуация не се е случила в световноизвестните компании на Съединените американски щати, чиято информационна сигурност е пострадала много от това.

Интервю с главата за сигурност:

Освен това, в резултат на това, в резултат на това може да има изтичане на информация от системите, това са банкови служители, които са жадни за печелене на пари. Въпреки факта, че в повечето случаи неоторизиран достъп до информация за банковите системи е направен само за да се получи възможност за работа у дома, те са причината за разпространението на информация, която е поверителна. Освен това това е пряко нарушение на политиките за сигурност на системата. банкови организации.

Трябва също да се отбележи, че хората, които имат значителни привилегии за достъп до такива данни, работят във всяка банка. Това обикновено са системни администратори. От една страна, това е необходимост от производствена необходимост, която дава възможност да се изпълняват служебни задължения, а от друга страна, те могат да го използват за собствените си цели и в същото време да знаят как професионално "вземат песни."

Методи за намаляване на рисковете от изтичане на информация

Защитата на банковата информация от неоторизиран достъп обикновено включва най-малко 3 компонента. Всеки от тези компоненти помага да се гарантира сигурността на банките в района, където се използва. Това може да се дължи на защитата срещу физически достъп, резервни копия и защита срещу вътрешни лица.

Тъй като банките със специално внимание се отнасят до физическия достъп и се опитват да изключат напълно възможността за неоторизиран достъп, тогава те трябва да използват специални средства и кодиране на методи и кодиране на важна информация. Тъй като банките имат сходни системи и инструменти за защита на данните, по-добре е да се използват криптографски защитни съоръжения. Те спомагат за поддържане на търговска информация, както и намаляване на рисковете от такива ситуации. Най-добре е да съхранявате информация в кодираната форма, като използвате принципа на прозрачно криптиране, което спомага за намаляване на разходите за защита на информацията и също се освобождава от необходимостта от постоянно дешифриране и шифроване на данни.

Като се има предвид факта, че всички данни за банковите системи всъщност са парични клиенти, трябва да се дадат тяхната безопасност. Един от начините е да се определи наличието на неуспешни сектори на твърдия диск. Функцията за премахване или спиране на процеса възпроизвежда далеч от последната роля при първоначалното криптиране, криптиране, декриптиране и разбъркване на диска. Такава процедура има висока продължителност и следователно всеки неуспех може да доведе до пълна загуба на информация. Най-надеждният начин за съхранение на клавишите за криптиране и системите е смарт карти или USB ключове.

Защитата на информационните системи се извършва по-ефективно поради използването на не само стристорите, но и свалящи се твърди дискове, DVD носители и други неща. Интегрираното използване на защитата срещу физическото проникване в източници на информация увеличава шансовете за неговото опазване и почтеност от конкуренти и натрапници.

От този видеоклип ще научите за мерките, които трябва да вземете:

Методи за защита на информационните системи от вътрешни лица

Предимно кражба на информация възниква с мобилни носители, различни видове USB устройства, дискови устройства, карти с памет и други мобилни устройства. Ето защо, една от правилните решения е забраната за използване на такива устройства на работното място. Всичко, което трябва да се съдържа в сървърите, е внимателно наблюдавано, където и къде се предава информация в банковата среда. Освен това само тези превозвачи, закупени от компанията, са разрешени в екстремни случаи. Можете да зададете специални ограничения, благодарение на които компютърът няма да разпознае чуждестранни медии и карти с памет.

Защитата на информацията е една от най-важните задачи на банковите организации, необходими за ефективното функциониране. Модерен пазар Като поставен по-големи възможности Да изпълнят тези планове. Блокирането на компютри и пристанища е най-важното условие, което трябва да се наблюдава за защита на системите, за да бъдат по-надеждни.

Не трябва да забравяме, че лицата, ангажирани в базите данни, също са запознати с набор от системи, благодарение на който се извършва защитата на търговската информация и те могат да ги заобиколят с помощта на специалисти. За да се предотвратят тези рискове за предотвратяване на възникването на такива рискове, е необходимо непрекъснато да се работи за подобряване на сигурността и да се опита да използва разширени системи за защита.

Всяка документална информация подлежи на защита, чието незаконно отношение може да повреди банката и / или клиента, който е информирал информацията си на банката.

Тази информация включва:

1. Всички операции по сметките на лицето на разпределенията.

2. Условия за заплащане на заплатите от институции и организации (съгласно "Заплати" договори).

3. Планове за контрол и одит.

4. Актове на външни и вътрешни проверки.

5. Информация за сумите, получени от конкретния платец.

6. Кореспонденция с правоприлагащите органи.

7. Обсъдена информация, обсъдена по време на заседанията, проведени от ръководителите.

8. Информация, която съставлява търговската тайна на предприятията, фирмите, банките и други стопански субекти.

9. Софтуерни данни, използвани за справяне с "оперативния ден".

10. Схема на движение на документи "Оперативен ден".

11. Структурата на автоматизираните системи, процедурата за администриране на високоговорителите и информационните ресурси, които ще бъдат защитени, списъци с пароли и имена на активно оборудване.

12. Описание на информационните потоци, топологията на контролните телекомуникации, схемите за поставяне на елементите на AU.

13. Система за защита на информацията.

14. Информация за организационните и технически мерки за защита на информацията.

15. Редовен график и броя на банковите служители.

16. Лични данни за служителите.

17. информация от лична дейност, книга по труда, Карти F. RT-2.

18. информация за доходите на гражданин и имущество, принадлежащ към него относно правото на собственост; заплати и други плащания към служителите.

19. разследващи материали за изявленията на гражданите и разстройствата на трудовата дисциплина.

20. Друга информация, свързана с дейността на Банката, ограниченията за разпределението на които са продиктувани от официалната необходимост.

АС ресурсите включват данни, информация, софтуер, хардуер, сервиз и телекомуникации.

Режимът на информационна сигурност е зададен

• по отношение на информацията, съдържаща държавната тайна, отделът за информационна сигурност на банката в съответствие със закона на Руската федерация "относно държавната тайна";
• по отношение на поверителната документация - собственикът на информационните ресурси въз основа на Федерален закон "Относно информацията, информатизацията и защитата на информацията";

1.4.2. Възможни заплахи за защитените информационни ресурси

Идентифицираните заплахи са:

1. Неоторизиран достъп.

2. Умишлени и непреднамерени неуспехи в работата на компютърно оборудване, електрическо оборудване и др., Водещи до загуба или изкривяване на информацията.

3. Прихващане, изкривяване или промяна на информацията, предавана чрез комуникационни канали.

4. незаконно запознаване с информация.

1.4.3. Защита на информационните ресурси

Предотвратяване на възможни заплахи за защитените информационни ресурси се извършва:

1. От неоторизиран достъп- Създаване на система за защита на информацията от НСД, която е набор от софтуерни и технически средства и организационни решения.

За организационните решения се прилага:

· Осигуряване на защита на обект, върху който се намира защитеният говорител, за да се предотврати присвояването на SVT, информационни носители, както и на НСД към SVT и комуникационни линии;

· Избор на клас за сигурност в съответствие с характеристиките на обработката на информацията и нивото на нейната поверителност;

· Организиране на счетоводни, съхранение и информационни медии, пароли, ключове, документация за обслужване, приемане на нов софтуер, както и наблюдение на технологичната обработка на поверителна информация;

· Разработване на съответната организационна и административна документация.

Връзката с глобалните компютърни мрежи се извършва само за да се установи действителната необходимост от такава връзка, изпълнението на пълен набор от защитни събития.

2. От умишлени и непреднамерени неуспехив работата на SVT, електрическо оборудване и т.н., което води до загуба или нарушаване на информацията.

Софтуер (софтуер), необходим за функционирането на информационните и телекомуникационните системи, се извършва под формата на списък и трябва да бъде одобрен от главата за употреба.

Инсталацията на работни места от всякакви програми се извършва само от ITO експерти. Независима инсталация софтуер Тя е строго забранена.

За да се гарантира защитата на поверителната информация от изкривяването или унищожаването в случай на повреди в работата на СВТ и оборудване, запазената информация се запазва и се използват непрекъснати източници на енергия. Честотата и процедурата за задържане на резервно копие определя администратора на LAN, въз основа на необходимостта от безопасност на информацията за базите данни.

3. Прихващане, изкривяване или промяна на информацията, предавана чрез комуникационни канали.

Прехвърляне на поверителна информация с лешояд "За официална употреба" на отворени комуникационни канали електронна поща, Facsimile и всички други видове комуникация без използването на инструменти за криптиране е забранено.

Имейлът се използва за прилагане на управлението на документа на банката с други организации. Поставянето на превключващото оборудване след изтичане на работния ден е запечатано, вратите са затворени на замъка, достъп до тях до неупълномощени лица, без да подкрепят отговорното лице, е забранено. (Служители на банката, които сами по себе си функционални задължения Няма връзка с работата на това оборудване).

Отговорните лица редовно провеждат визуален контрол на всички телекомуникации, за да идентифицират или своевременно предотвратяват опитите за свързване на специални устройства за премахване на информация.

4. Незаконно запознаване с информация.

За да се предотврати незаконното запознаване с информация, входът към помещението, в който се обработва информацията, трябва да бъде ограничена.

Когато организирате работното си място, служител има екран на дисплея, за да затрудни преглед на информацията, показана на неупълномощени лица.

Когато напускате по някаква причина работното си място, служителят е длъжен да излезе от мрежата или да блокира екрана на монитора.

1.4.4. Защита срещу вируси

Какво трябва да бъде антивирусната защита?

Като цяло, антивирусната защита на банковата информационна система следва да бъде изградена върху йерархичен принцип:

• услуги на общо корпоративно ниво - първото ниво на йерархията;
• услуги на единици или клонове - второто ниво на йерархията;
• службата на крайните потребители - 3-то ниво на йерархията.

Всички нива се комбинират в една изчислителна мрежа (образуват единна инфраструктура), чрез локална компютърна мрежа.

Общите корпоративни услуги трябва да функционират в непрекъснат режим.

Всички нива трябва да се управляват от специален персонал, за който трябва да се осигурят средствата за централно управление.

Антивирусната система трябва да осигурява следните видове услуги на общо корпоративно ниво:

• получаване на софтуерни актуализации и антивирусни бази данни;
• контрол на разпространението на антивирусен софтуер;
• контрол на актуализацията на антивирусните бази данни;
• наблюдение на работата на системата като цяло (получаване на предупреждения за откриване на вируса, редовно получаване на всеобхватни доклади за функционирането на системата като цяло);

на ниво единици:

• актуализиране на антивирусните бази данни на крайните потребители;
• актуализиране на антивирусен софтуер софтуер, управление на локални групи потребители;
• на ниво крайни потребители:
• автоматична защита срещу вируса.

Функционални изисквания

• Дистанционно. Възможност за контрол на цялата система от едно работно място (например от работната станция на администратора).
• Поддържане на трупи. Поддържане на работни дневници в удобна регулируема форма.
• Сигнали. Системата за защита трябва да може да изпраща сигнали за събитията.
• Производителност на системата. Необходимо е да се регулира нивото на натоварване от антивирусна защита
• Отбрана от различни видове вируси. Необходимо е да се гарантира възможността за откриване на вируси на изпълними файлове, макроси от документи. Освен това трябва да бъдат осигурени механизмите за откриване на неизвестен вирусен софтуер.
• Постоянна защита на работните станции. Работните станции трябва да работят софтуер, който осигурява проверка на файлове при отваряне и писане на диск.
• Автоматична актуализация на антивирусната база. Следва да се осигури възможност за автоматично приемане на актуализации на антивирусната база данни и обновяването на антивирусната база на клиентите.

Общи изисквания

• Програмните технически компоненти на антивирусната система за защита следва да гарантират формирането на интегрирана изчислителна среда, която отговаря на следните общи принципи за създаване на автоматизирани системи:
• Надеждност - системата като цяло трябва да продължи да функционира независимо от функционирането на отделни системни възли и трябва да има инструменти за възстановяване след провал.
• Трябва да се оформи мащабируемост - антивирусна защита система, като се вземат предвид растежа на броя на защитените обекти.
• Отвореност - трябва да се формира системата, като се вземе предвид възможността за попълване и актуализиране на нейните функции и състав, без да се нарушава функционирането на изчислителната среда като цяло.
• Съвместимост - Поддръжка за антивирусен софтуер като максимален възможен брой мрежови ресурси. В структурата и функционалните характеристики компонентът трябва да бъде представен инструмент за взаимодействие с други системи.
• Unified (хомогенност) - компонентите трябва да бъдат стандартни, индустриални системи и средства, които имат широк обхват на приложение и многократна употреба.
• В допълнение, системата трябва да осигурява редовна актуализация на използваната антивирусна база, да съдържа механизмите за търсене за неизвестни преди това вируси и макроруси, като най-често срещан и опасен в момента.

Изисквания за надеждност и функциониране на системата

• Антивирусната система за защита не трябва да нарушава логиката на използваните останали приложения.
• Системата трябва да предостави възможност да се върне към използването на предишната версия на антивирусни бази данни.
• Системата трябва да работи във функциониращия режим на обекта (работна станция / сървър), на която е инсталиран.
• Системата трябва да осигурява предупреждение на системния администратор в случай на повреди или откриване на вируси.

1. На първото ниво, защитата на интернет връзката или комуникационната мрежа е защитна стена и пощенски шлюзове, тъй като около 80% от вирусите попадат в съответствие с статистиката. Трябва да се отбележи, че по този начин няма да бъдат открити повече от 30% от вирусите, тъй като останалите 70% ще бъдат открити само по време на процеса на изпълнение.

Използването на антивирусни стени за защитните стени в момента се свежда до прилагането на филтриращ интернет достъп при тестване за предавани вируси за трафик.

Антивирусният тест, пренасян от такива продукти, силно се забавя и има изключително високо ниво на откриване, съгласно това, в суспензия на необходимостта от филтриране от потребители на уебсайтове, използването на такива продукти не е подходящо.

2. Като правило защита на файловия сървър, сървъра на базата данни и колективните работни сървъри, тъй като те съдържат най-важната информация. Antivirus не е подмяна на инструменти за архивиране на информация, но без него можете да срещнете ситуация, при която резервните копия са заразени, и вирусът се активира шест месеца след инфекцията.

3. Е, накрая защита на работните станции, те не съдържат важна информация, но защитата може значително да намали времето на аварийно възстановяване.

Всъщност всички компоненти на банковата информационна система, свързани с транспортната информация и / или нейното съхранение, подлежат на антивирусна защита: \\ t

Ø файлови сървъри;

Ø работни станции;

Ø Работни станции за мобилни потребители;

Ø резервно сървър;

Ø email сървър;

Ø Защитата на работните места (включително мобилните потребители) трябва да се извършва от антивирусни и мрежови инструменти на работните станции.

Инструментите за мрежови екранири са предназначени предимно за защита на мобилните потребители, когато работят чрез интернет, както и за защита на работните станции на компанията от политиките за вътрешна сигурност.

Основните характеристики на мрежовите екрани за работни станции:

Контролни връзки в двете посоки

Оставете известни приложения за достъп до интернет без намеса на потребителя (Autoconfig)

Съветник за конфигуриране за всяко приложение (само инсталираните приложения могат да проявят мрежова дейност)

Направете компютъра невидим в интернет (скривалище)

Предотвратяване на известни хакерски атаки и троянски коне

Уведомете потребителя за опити за хакване

Записва информация за връзките в регистрационния файл

Предотвратяване на изпращането на данни, определени като поверителни от изпращането без предизвестие

Не давайте сървъри за получаване на информация без потребителски знания (бисквитки)

Антивирусна защита на информационните системи - най-важната и постоянна функция на общата система икономическа сигурност банка. В този случай временните загуби и отстъпленията от стандартите са неприемливи. Независимо от антивирусните защитни решения, които вече съществуват в банката, винаги е полезно да се извършват допълнителни одити и да оценят системата с очите на независим и компетентен експерт.

От външния си вид банките постоянно причиняват интерес от престъпния свят. И този интерес беше свързан не само със съхранение в кредитните институции пари, но и с факта, че банките са насочили важна и често тайна информация за финансовите и икономическа дейност Много хора, компании, организации и дори цели държави. Понастоящем банковата тайна е защитена от закона заедно с държавната тайна.

Във връзка с универсалната информация и компютъризация на банковите дейности значението на информационната сигурност на банките многократно се увеличава. Преди 30 години целта на информационните атаки са данни за клиентите на банките или на дейностите на самата банка. Такива атаки бяха рядкост, кръгът на техните клиенти беше много тесен и щетите могат да бъдат значителни само в специални дела. В момента, в резултат на широко разпространеното разпределение на електронни плащания, пластмасови карти, компютърни мрежи, двата банки и техните клиенти са станали обект на информационни атаки. Опит за украсяване на всеки - само присъствието на компютър, свързан с интернет. И за това не се изисква физически проникване в банката, можете да "работите" и хиляди километри от него.

Услугите, предоставяни от банките днес, до голяма степен се основават на използването на електронното взаимодействие на банки помежду си, банки и техните клиенти и търговски партньори. В момента достъпът до банките е станал възможен от различни отдалечени точки, включително домашни терминали и услуги за услуги. Този факт причини да се отдалечат от концепцията за "заключени врати", която е характерна за банките през 60-те години, когато в повечето случаи са използвани компютри в пакетния режим като помощ и нямат връзка с външния свят.

Компютърни системи, без които никой не може да направи модерна банка- Източникът на напълно нови, неизвестни преди това заплахи. Повечето от тях се дължат на използването на банков бизнес Нови информационни технологии и са характерни не само за банките.

Нивото на оборудването в автоматизацията чрез автоматизация играе важна роля в дейностите на Банката и следователно пряко отразена в нейната позиция и доход. Укрепването на конкуренцията между банките води до необходимостта от намаляване на времето за изготвяне на изчисления, увеличаване на номенклатурата и подобряване на качеството на предоставяните услуги.

Колкото по-малко време ще предприемат изчисленията между банката и клиентите, толкова по-висок от оборота на банката и следователно печалба. В допълнение, банката по-бързо ще отговори на променянето на финансовото състояние. Разнообразие от банкови услуги (на първо място, това се отнася до възможността за непарични плащания между Банката и нейните клиенти, използващи пластмасови карти), може значително да увеличи броя на своите клиенти и в резултат на това да увеличи печалбите. В същото време ABS Bank става едно от най-уязвимите места в цялата организация, която привлича натрапници отвън и от служителите на самата банка. За да защитите себе си и техните клиенти, повечето банки правят необходимите мерки за защита, включително защитата на ABS, заема едно от най-важните места. Защита ABS Bank е скъпо и сложно събитие, което изисква не само значителни еднократни инвестиции, но и осигурява разходите за подкрепа на системата за защита на правилното ниво. Средно банките в момента да подкрепят достатъчно ниво на защита, прекарват повече от 20 милиона долара годишно.

Стратегията за информационна сигурност на банките е много различна от подобни стратегии на други компании и организации. Това се дължи главно на специфичния характер на заплахите, както и обществената дейност на банките, които са принудени да направят достъп до сметки, достатъчно лесни за удобство за клиентите.

Обичайната компания изгражда своята информационна сигурност, която преминава само от тесен кръг от потенциални заплахи - главно защитата на информацията от конкурентите (в руските реалности основната задача е да защити информацията от данъчни власти и престъпната общност, за да се намали вероятността от неконтролируем растеж данъчни плащания и багажник). Тази информация е интересна само за тесен кръг от заинтересовани страни и организации и рядко е течен, който се превръща в парична форма.

7.2. Изисквания за сигурност на банковата информация

Информационната сигурност на банката трябва да вземе предвид следните специфични фактори:

1. Съхраняването и обработката в информацията за банковите системи е реални пари. Въз основа на информацията за компютъра могат да се плащат плащания, заеми за отваряне, превод на значителни количества. Ясно е, че незаконната манипулация с такава информация може да доведе до сериозни загуби. Тази функция рязко разширява кръговите кръгове, които приемат банките (за разлика от това, индустриални компанииЧия вътрешна информация не се интересува).
2. Информацията в банковите системи засяга интересите на голям брой хора и организации - банкови клиенти. Като правило, тя е поверителна, а банката отговаря за осигуряването на необходимата степен на секретност на своите клиенти. Естествено, клиентите имат право да очакват, че банката трябва да се грижи за техните интереси, в противен случай той рискува репутацията си с всички възникнали последици.
3. Конкурентоспособността на банката зависи от това колко удобно за работа с Банката, както и колко широк обхватът на предоставяните услуги, включително услуги, свързани с отдалечен достъп. Следователно, клиентът трябва да може бързо и без досадни процедури да се разпорежда с парите си. Но такава лекота на достъп до парите увеличава вероятността от престъпно проникване в банковите системи.
4. Информационната сигурност на Банката (за разлика от повечето компании) следва да гарантира висока надеждност на компютърните системи, дори в случай на извънредни ситуации, тъй като Банката е отговорна не само за своите средства, но и за пари на клиенти.
5. Банката запазва важна информация за своите клиенти, която разширява гамата от потенциални нарушители, които се интересуват от кражба или повреда на такава информация.

Престъпленията в банковия сектор също имат свои собствени характеристики:

• Много престъпления, извършени във финансовия сектор, остават неизвестни на широката общественост поради факта, че ръководителите на банките не искат да нарушават акционерите си, те се страхуват да преминат към тяхната организация към нови атаки, да се страхуват от тяхната репутация като надежден склад на средствата и в резултат на това губят клиенти.
• Като правило нападателите използват собствените си сметки, към които се превеждат отвлечените суми. Повечето престъпници не знаят как да "измият" откраднати пари. Способността да се извърши престъпление и способността да се получат пари не е едно и също нещо.
• Повечето компютърни престъпления са малки. Щетите от тях се крият в диапазона от $ 10,000 до 50.000.
• Успешните компютърни престъпления обикновено изискват голямо количество банкови операции (до няколкостотин). но големи суми може да бъде изпратен и само в няколко транзакции.
• Повечето от нападателите са служители на банки с ниско ниво, чиновници. Въпреки че най-високият персонал на банката може също да извърши престъпления и да постави банката много повече щети - такива случаи са единични.
• Компютърните престъпления не винаги са високотехнологични. Достатъчно е да фалшиви данни, промени в параметрите на ABS среда и т.н. и тези действия са на разположение и сервизен персонал.
• Много нападатели обясняват действията си от факта, че те вземат само дълг от страна на банката с последващо възвръщаемост. Въпреки това, "връщане", като правило, не се случва.

Спецификата на защитата на автоматизираните системи за обработка на информация за банките (ABS) се дължат на характеристиките на задачите, решени от тях:

• ABS се справя с голям поток от постоянно входящи заявки в реално време, всеки от които не изисква да се справят с множество ресурси, но заедно те могат да бъдат обработени само от висока производителност.
• В ABS, поверителна информация се съхранява и обработва, не е предназначена за широката общественост. Неговото фалшиво или изтичане може да доведе до сериозни (за банката или нейните клиенти) последствия. Следователно, ABS са обречени, за да останат относително затворени, да работят под контрола на специфичен софтуер и да обърнат голямо внимание на осигуряването на тяхната безопасност.
• Друга особеност на ABS е повишените изисквания за надеждността на хардуера и софтуера. Ето защо, най-модерните ABS са изградени с помощта на архитектурата на компютърната мрежа, която позволява непрекъсната обработка на информация дори в условия на различни неуспехи и неуспехи.

Можете да изберете два вида задачи, решени ABS:

1. Аналитичен. Този тип включва задачите за планиране, анализиране на сметки и т.н. Те не функционират и могат да изискват за решаване дълго време и техните резултати могат да повлияят на политиката на банката по отношение на конкретен клиент или проект. Следователно, подсистемата, с която се решават аналитични задачи, трябва да бъдат надеждно изолирани от основната система за обработка на информацията и освен това поради възможната стойност на резултатите тяхната защита трябва да бъде постоянна.
2. Оперативен. Този тип включва задачите, решени в ежедневната дейност, първо, плащания и коригиране на сметки. Това са тези, които определят размера и капацитета на основната система на банката; За да ги разрешите, обикновено се нуждаят от много повече ресурси, отколкото за аналитични задачи. В същото време стойността на информацията, обработена при решаването на такива задачи, е временна. Постепенно стойността на информацията, като изпълнението на всяко плащане, става без значение. Естествено, това зависи от много фактори, по някакъв начин: сумите и времето на плащане, броя на сметката, допълнителни характеристики и т.н. следователно е достатъчно, за да се гарантира именно защитата на плащането точно към момента на нейното прилагане. В този случай защитата на процеса на обработка и крайните резултати следва да бъде постоянна.

7.3. Методи за защита на информацията в автоматизирани системи за обработка на данни

Под защитата на информацията в информационни системи (IP) се разбира редовното използване на средствата и методите в тях, приемането на мерки и прилагане на мерки за системна подкрепа за необходимата надеждност на съхраняваната и обработена информация. Надеждност на информацията - интегрален индикатор, който характеризира качеството на информацията от гледна точка на физическата цялост (липса на изкривяване или унищожаване на информация), доверие в информацията (доверие в отсъствието на заместване) и сигурността - липсата на неразрешена разписка и копиране.

Компоненти за интегрална информационна сигурност:

• организационни мерки за сигурност;
• мерки за сигурност: защита и защита на сгради, помещения, компютри, превозвани по документи и др.
• осигуряване на безопасността на хардуера: осигуряване на надеждна работа на компютри и мрежово оборудване;
• осигуряване на безопасността на комуникационните канали: защита на комуникационните канали от външни влияния;
• предоставяне на софтуер за сигурност и математическа поддръжка: защита срещу вируси, хакери, злонамерени програми, носещи поверителна информация.

Известно е, че 80% от престъпленията, свързани с кражба, повреда или нарушаване на информация, са извършени с участието на служителите на Дружеството. Следователно най-важната задача на ръководството, отдел "Персонал и служби за сигурност" е внимателен подбор на служителите, разпределението на правомощията и изграждането на система за допускане до елементи на информация, както и контрол на дисциплината и поведението на служители, създаващи добър морален климат в екипа.

Организационни средства Защитата на информацията е специална организационна и техническа и правна дейност, извършвана в процеса на създаване и експлоатация на система, която интегрира защитата на информацията.

Законодателенинструментите за защита на информацията се определят като законодателни актове, които регулират процедурата за използване и обработка на информация, ограничения на достъп и които носят отговорност и санкции за нарушаване на тези правила.

Технически средства са разделени на физически (ключалки, решетки, сигнални системи и др.) И хардуер(ключалки, заключване, аларми и други устройства, използвани директно върху средствата за изчислителна технология и средства за данни). Софтуер Защитата на информацията е специални инструменти за защита на информацията, вградени в системния софтуер и независимо или в комплекс с други средства за защита на информацията в системата.

Софтуеринструменти за информационна сигурност:

1. Софтуер идентификация на потребителя и определяне на техните правомощия.
2. Софтуер идентификация на терминалите.
3. Софтуер защита на файла..
4. Софтуер защита на операционната система, компютър и потребителски програми.
5. Спомагателни програми за различни цели.

Криптографски средства Информационна сигурност - специални методи за кодиране, криптиране или друго преобразуване на информация, в резултат на което съдържанието става недостъпно, без да представя някаква специална информация и обратна трансформация. Използването на криптографски методи е станало особено подходящо във връзка с прехвърлянето на големи обеми публична, военна, търговска и лична информация в отворената мрежа. Поради високата цена на щетите от загубите, оповестяванията и изкривяването на информацията, съхранена в бази данни и предавани от местни мрежиВ съвременния IP се препоръчва да се съхранява и предава информация в криптирана форма.

Криптографска система- Семейство на отворени алгоритми за преобразуване на текст в шифърдкст.

Азбука- Крайни набори, използвани за кодиране на информационна информация. Като примери за азбуките, използвани в съвременните информационни системи, могат да бъдат донесени:

• азбука Z33 - 32 букви от руската азбука и пространство;
• азбука Z256 - символи, включени в стандартните ASCII кодове;
• бинарна азбука - Z2 \u003d (0,1).

Шифроването включва превръщане на изходния текст с помощта на ключа към криптирания текст t. Ключ- сменяем шифен елемент, който се прилага за шифроване на конкретно съобщение. При криптиране се използва концепцията за "шифрова гама" - това е псевдо-случайна цифрова последователност, генерирана от даден алгоритъм, за шифроване на отворени данни и декриптиране на шифрограми.

От естеството на използването на ключа, известните криптосистеми могат да бъдат разделени на два вида: симетрични (Твърдо, с таен ключ) и асиметрично(отворен ключ).

В първия случай, същият ключ се използва в енкодера на подателя и декодера получателя. Енкодерът образува цифрограма, която е функцията на отворения текст, специфичният изглед на функцията за криптиране се определя от тайния ключ. Декодерът на получателя на съобщението извършва обратната трансформация по същия начин. Тайният ключ се съхранява в тайна и се предава от изпращача на посланието до получателя над защитен канал, с изключение на прихващането на ключа на криптиране на противника.

Шифроването се извършва чрез методи за заместване и пермутация. Най-простото, но не и деномматичното криптиране - с подмяна на текстови символи към случайни символи или цифри. В този случай ключовата дължина трябва да съответства на дължината на текста, която е неудобна с големи количества информация. Ключът се използва веднъж, след това се разрушава, така че този метод се нарича "криптиране със сълзния бележник".

В действителност криптирането се извършва в двоичен код, използвайки къси ключове - в международния стандарт DES (стандарт за криптиране на данни), който работи с 64 байта 64 блока данни (1998), в ГОСТ 28147 - 89 - 256 байта, която осигурява значително по-голяма криптостилност . Въз основа на краткия ключ компютърът създава дълга гама, използвайки един от няколко алгоритми, очертани в DE файлови стандарти или Gost. Алгоритмите за създаване на гама - приспособления се основават на поредица от заместители и смени, възможно е да се използва шифърд. Алгоритмите за криптиране не са тайни, само ключовете са Secrete. За да разпространявате ключовете обща употреба Прилага се следната технология: Първите клавиши за ранг се предават чрез куриери, те са криптирани и предавани по техните мрежи, които вторият ранг, използван за шифроване на документи.

Най-модерните системи за криптиране използват асиметрични алгоритми с отворени и тайни ключове, където няма проблем за безопасно транспортиране на ключа. Такива системи включват алгоритъма на RSA, наречен от разработчиците (Rivest-Shamir-Adleman - разработчиците на тази система Роналд Роваст, Ади Шамир и Леонард АДЕМЕМАН, 1977), въз основа на разширяването на голям брой на множителите.

В асиметрични криптосистеми (Отворени ключови криптосистеми) в алгоритмите за криптиране и декриптиране се използват различни ключове, всяка от които не може да бъде получена от другата с приемливи разходи за временни и други ресурси. Един ключ е отворен - използван за шифроване на информация, а другата е тайна - за декриптиране, т.е. прочетете съобщение само един, на когото е предназначен, например, ръководителят на компанията, получаваща съобщения от многобройните си агенти.

Системи за електронен подписвъз основа на асиметричното криптиране, но тайният ключ се съхранява на подателя на съобщенията и отвореният ключ, създаден въз основа на тайната на математическата трансформация, много от тях имат. Публичният ключ може да бъде прехвърлен с съобщението. Но в този случай съобщението не е криптирано и неговата хеш функция, получена от съобщението, като я превръща в определен алгоритъм и заема само няколко байта. Промяна на поне един бит в текста на съобщението води до значителна промяна в хеш функцията. Получателят на съобщението може да дешифрира криптираната хеш функция, предавана с съобщението, да създаде хеш функция на полученото съобщение, използвайки добре известен алгоритъм и сравнява декриптирана и пресъздадена хеш функция. Тяхното съвпадение гарантира целостта на получената документа, т.е. липсата на изкривяване в нея. Получателят не може да прави промени в получения документ, тъй като не може да криптира нова хеш функция. Ето защо електронният подпис има същата правна сила като обичайното подписване и отпечатването на хартия. Тайни и отворени ключове, програми и оборудване за електронни системи за подписване на лицензиране на фирмите, които, ако е необходимо, могат да подадат копие от ключовете пред съда.

Има две основни методи за защита: Софтуер и хардуер. Методът за защита на софтуера е добър в това със сравнително ниски разходи, можете да получите програма, която осигурява необходимата надеждност на съхранението на информация. Но софтуерните инструменти имат няколко значима недостатъка, които трябва да бъдат известни при избора на този път:

• обикновено работят по-бавен хардуер;
• всяка програма може да бъде отворена, тя е само въпрос на време и квалификация на специалист;
• когато медиите са присвоили, програмата е отвлечена.

Хардуер също има редица недостатъци: тяхното развитие е по-скъпо, добавят се разходите за производство и поддръжка, хардуерната система е по-сложна и изисква софтуера в допълнение към хардуера.

Но предимствата на използването на хардуер са очевидни:

• бърза работа без системни ресурси;
• невъзможно е да се проникне в хардуерната програма без присвояването му;
• без хардуер, не е възможно да декриптирате защитените данни.

7.4. Законодателни актове в областта на защитата на информацията

Русия предприема мерки за противодействие на информационните оръжия и компютърните престъпления. В държавата Дума на Руската федерация има заместник-група " Електронна Русия"За развитието на съответните закони се провеждат кръгли таблици за информационна сигурност. Законът на Руската федерация "относно сигурността", законът "за електронен подпис" и "за информация, информатизация и защита на информацията", който определя, че информацията е обект на защита, както и материалната собственост на собственика. Предоставянето на сигурно предаване на правителствена информация преди това е било ангажирано в FSB и FSB и FSB, защитата на търговската информация - фирми, които имат лиценз FSB. Разработен е ръководен документ на държавната държавна комисия на Руската федерация. Защита срещу неоторизиран достъп до информация. Класификация на автоматизираните системи и изисквания за защита на информацията »и съответните правителствени стандарти:

Gost 28147-89. Системи за обработка на информация. Криптографска защита. Криптографски алгоритъм за трансформация;

Gost R 34. 10-94. Информационни технологии. Защита на криптографската информация. Процедури за разработване и проверка на електронен цифров подпис на базата на асиметричен криптографски алгоритъм;

Gost R 34. 11-94. Информационни технологии. Защита на криптографската информация. Функция на хеширане;

ГОСТ R 50739-95. Компютърно оборудване. Защита срещу неоторизиран достъп до информация. Общи технически изисквания.

От 2004 г. насам е имало нова национална стандартна сигурност Gost / ISO IEC 15408 - 2002. Общи критерии за оценка на безопасността на информационните технологии.

Годината на раждане на стандарта може да се счита за 90-те години - тогава работата започна да създава стандарт в областта на оценката на безопасността на информационните технологии (IT) под егидата Международна организация Според стандартизацията (ISO). Този документ е преведен и зает като основа за разработване на GOST / ISO IEC 15408 - 2002. Името на стандарта се е развил исторически. Работата по нея е проведена със съдействието на държавните организации за стандартизацията на Съединените щати, Канада, Великобритания, Франция, Германия и Холандия и преследва следните концептуални цели:

• обединяване на различни национални стандарти в оценката на ИТ сигурността;
• подобряване на нивото на доверие в оценката на ИТ сигурността;
• намаляване на разходите за оценка на сигурността въз основа на взаимно признаване на сертификати.

Руският стандарт е точен превод на международния стандарт. Той е приет чрез резолюцията на държавния стандарт на Русия от 04.04.2002 г. № 133-пространство с датата на въвеждане на 1 януари 2004 г. Появата на тази ГОСТ отразява не само процеса на подобряване на руските стандарти, като се използва международен опитНо и част от правителствената програма за присъединяване на Русия към СТО (както знаете, когато се присъедините към тази организация, страната на жалбоподателя следва да бъде унифицирани задължения, данъци, стандарти за производство, стандарти за качество и някои стандарти в областта на информационната сигурност) .

В рамките на новия стандарт са въведени концепциите за "заплаха" и "профил".

Профил за защита - "независимо от прилагането на изискванията за безопасност за някои категории продукти или информационни системи, които отговарят на конкретни потребителски искания."

Всички защитни механизми, описани в профила, се наричат \u200b\u200bфункции за защита на обекта (FBO). Профилът на защита включва само тези функции за сигурност, които трябва да бъдат защитени от заплахи и да спазват политиките за сигурност.

Предположенията за сигурност са описание на специфичните условия, в които системата ще бъде управлявана. Политика за сигурност - "Един или повече правила, процедури, практически техники или насоки в областта на сигурността, водени от организацията в тяхната дейност". Като цяло, такъв набор от правила е вид функционалност. софтуерен продукткоето е необходимо за използването му в определена организация.

Един от най-балансираните и жизнеспособни документи е вътрешно-индустриален стандарт на Банката на Русия на IB. Последното му издание (2006) показва изричното намерение на централната банка да промени препоръката на документа за задължителен статут.

7.5. Стандарт за защита на информацията в областта на банковите карти

Платежна карта Индустрия стандарт за сигурност (PCI DSS) е стандарт за защита на информацията в индустрията за платежни карти, разработена от международни платежни системи Visa и MasterCard.

Решението за създаване на този единният стандарт бе приет от международните платежни системи поради нарастващия брой дружества, които съобщават, че тяхната поверителна информация за сметките на техните клиенти са загубени или откраднати.

Стандартни цели:

• увеличаване на сигурността на електронните системи за търговия и платежните системи;
• осигуряване на сигурна среда за съхраняване на данни от картодържателите;
• намаляване на несъответствието в изискванията за безопасност в производството на платежни карти;
• модернизация и рационализиране на бизнес процесите и намалени разходи.

Изискванията на PCI DSS стандарта се разпространяват във всички компании, работещи с международни платежни системи Visa и MasterCard. В зависимост от броя на транзакциите на всяка компания, всяка компания е определена определена степен с подходящ набор от изисквания, които те трябва да изпълняват. Като част от изискванията на стандарта, годишно одитни проверки Компании, както и тримесечни мрежови сканирания.

От септември 2006 г. стандартът за сигурност на PCI за сигурност е въведен от Международната платежна система за виза в региона на CEEMA като задължителна, съответно, нейното действие се прилага за Русия. Ето защо, доставчиците на услуги (центрове за обработка, платежни шлюзове, интернет доставчици), работещи директно от Visanet, трябва да преминат процедурата по одит за съответствие с изискванията на стандарта. В противен случай визата ще прилага определени санкции на компаниите.

Въпроси за самолечение

1. Каква е основната разлика между защитата на банковите компютърни системи от защитата на индустриалните компютърни системи?
2. Какви дейности могат да бъдат приписани на мерките за организационна защита?
3. Какъв е принципът на "затворени врати" в банките и защо не може ефективно да се прилага в момента?
4. Какви средства за защита могат да бъдат приписани на физически?
5. Какви системи, аналитични или оперативни, изискват по-задълбочени методи за защита и защо?
6. Какви са методите за трансформация на криптографски текст?
7. Какъв е ключът?
8. Дайте дефиницията за "увеличаване". Защо е необходимо?
9. Какво е кодиране с "бележника за разкъсване" и защо не е приложимо сега?
10. Каква е дължината на ключа при кодиране, използвайки стандарта DES?
11. Дължината на ключа се различава руски стандарти От международни? Какво е тя?
Име на работилницата Анотация

Презентации

Име на представяне	Анотация

Статията е посветена на предоставянето на информационна сигурност в банкови институции Въз основа на вътрешния пазар регулаторни изисквания Индустриални стандарти на Банката на РУСИЯ BR IBBS-1.0-2014. Разглеждат се някои аспекти на защитата в автоматизирани банкови системи (ABS), защита на личните данни в банковия сектор, вътрешния одит и самооценка за съответствие с изискванията на IB, както и някои характеристики и проблемни места, свързани със спецификата на информацията сигурност в банките.

Въведение

Не е тайна, че банките са крайъгълен камък на финансовата и финансовата система на държавата и най-важната финансов институт модерно общество. В това отношение те се налагат на специални изисквания за информационна сигурност. До появата на вътрешните стандарти за сигурност на информационната сигурност, ул. Br IBS банки успя да управлява сигурността, въз основа на разпоредбите на вътрешните регулаторни документи. Но след приемането на тези документи има много въпроси, които изискват тяхното решение. Някои въпроси, разглеждани в статията, са свързани с разрешаването на "затруднения" на банковата система на IB и адаптиращите политики за сигурност за нови изисквания, като се вземат предвид вече на разположение "багаж" в областта на защитата на информацията.

Създаване на стандарти за МБ Банк Русия

В Русия до средата на 2000-те години думата "Безопасност"свързани главно с контрол "Банкови рискове" . контролни ситуации, които биха могли да доведат до възникване кредитна организация Загуби и влошаване на ликвидността му поради появата на неблагоприятни събития. Такива категории като "Информационна сигурност" или "защита на информацията" Тя не съществува по принцип. Само федералният закон "на банковите дейности" от 02.12.1990 N 395-1 FZ в член 26, банковата тайна даде ограничено право и способност за защита на поверителната информация в банковия сектор. Повече от десетилетие, местните писатели издадоха федералния закон "на търговска тайна" на 29 юли 2004 г. N 98-FZ, който накрая да декларира напълно нова форма на дейност и отделна категория въпроси като "информационна сигурност на" Банки ".

През същите години тенденциите се появяват в местната банкова общност за приемане на международни банкови стандарти, по-специално стандарт Базел II. В своето тълкуване този стандарт разгледа информационната сигурност като операционен риск и като цяло настояваха мерки за одит и контрол на информационната сфера, която по това време беше абсолютна иновация за руските банки. Това обаче не е достатъчно - развитието на съвременните информационни технологии и постоянното желание на предложението за нови банкови продукти на пазара изискваха повече внимание на тези въпроси.

Следващото еволюционно развитие на развитието беше 2004 г. с пускането Централна банка Русия на първия редакционен офис на пакета от вътрешни индустриални стандарти за информационна сигурност струя STRA IBS. Стандартът за ИТ сигурността се счита за най-добрия секторен стандарт по това време, защото си представя най-добрия световен опит и практика, съчетава основните разпоредби на ИТ стандартите за управление на сигурността (ISO 17799, 13335), регулира описанието на жизнения цикъл на софтуера и Критерии за оценка на ИТ сигурността (Gost R ISO / IEC 15408-1-2-3). Също така, документът отразява технологиите за оценка на заплахите и уязвимостта, някои от разпоредбите на британската методология за оценка на информационните рискове на CRAMAM (вж. Фигура 1).

Фигура 1. Връзка с различни изисквания и стандарти в ИТ, Сигурност и управление

Сред основните разпоредби на стандарта на централния банк, е възможно да се отбележи ориентацията за решаване на проблема с вътрешностите. За това Банката на Русия създава контрол върху обжалването на поверителна информация в корпоративната среда. Значително внимание се обръща на външни заплахи: разпоредбите на стандарта изискват от банките да имат антивирусна защита с редовно актуализирани бази, инструменти за филтриране на спам, контрол на достъпа, регулиране на процедурите за вътрешен одит, използват криптиране, за да се предпазят от неоторизиран достъп и др.

Въпреки всички тези очевидни предимства, стандартът е препоръчителен характер - позицията му може да се прилага от местни банки само на доброволна основа. Въпреки това, според резултатите от изследването на респондентите, представени в III на междубанковата конференция, имаше ясна тенденция към приемането на тези документи като задължителна основна основа за руските банки.

Успоредно с развитието на банковите стандарти в средата на 2000-те години в Русия беше включен и процесът на формиране на вътрешното законодателство в областта на информационната сигурност. Ключовият въпрос беше актуализацията на федералния закон "относно информацията, информационните технологии и защитата на информацията" от 27 юли 2006 г. N 149-Fz, която дава нови актуални дефиниции за информация, информационни технологии и процеси, отделно заглавието се разпределя поотделно заглавието "Защита на информацията". Следвайки го, отделна категория в практиката на защита на информацията бе белязана от закона "за лични данни" от 27 юли 2006 г. N 152-FZ.

Като се имат предвид всички тези иновации и промяна на реалностите на обществото, са публикувани новите издания на Str Br Ebbs. Така, в третото издание на стандарта от 2008 г., пакетът от документи беше значително преработен, бяха разказани нови термини и понятия, някои изисквания за сигурност бяха изискани и подробни изисквания; Актуализирани изисквания за системата за управление на информационната сигурност. Също така, стандартът придоби свой собствен модел на заплахи и нарушители на информационната сигурност на организациите на БС на RF. Бяха въведени нови блокове съгласно изискванията на IB в автоматизирани банкови системи, процесът на банково плащане и информационните технологични процеси бе регламентиран, отделно беше казано за използването на средства от криптографска защита.

На фона на последните световни събития от 2014 г. и икономическите санкции, наложени от западните страни по отношение на Русия, е имало ясна тенденция към развитие и преход към националната система за плащане. Това съответно прави допълнителни изисквания за надеждността и безопасността на тези системи, което води и увеличава значението на вътрешните стандарти на IB.

Резултатът от всички тези събития беше следващото преиздаване на стандарта. И през юни 2014 г., влезе в сила актуализирана пета, и докато последната до момента, редакционната служба на STR BR IBBS - 2014. Новото издание коригира недостатъците на минали проблеми и, което е много важно, изискванията и препоръките на ул. Олово в съответствие с описаното по-горе 382-p. Така например е изяснен списък на изискванията за регистрация на операции в ДКИ, списъкът на защитената информация е разширен, базиран на P-382, таблица за съответствие с лични показатели за оценка от сто и показатели от текущия версия на 382-p.

Не по-малко значимо постижение се превърна в актуализирана база за регулаторни изисквания, като се вземат предвид последните промени Законодателство в областта на защитата на личните данни, а именно добавени препратки към правителствения указ № 1119 и реда на FSTEC на Русия № 21.

Всичко това създаде единна методологична и регулаторна платформа, за да осигури всеобхватна информационна сигурност, като се вземат предвид банковите специфики. Pack of Documents Str Br IBBS руски банки Като изгради система за сигурност от секторна гледна точка в тях, но в същото време абсорбира най-доброто световна работа И опита на чуждестранните колеги, за да се гарантира сигурността на информацията.

Информационна сигурност в банките, като се вземат предвид Str Br IBBS-2014

В момента банката на руския пакет за поръчки от документи на ул. БрМБ се състои от следните части:

1. STR BR IBBS-1.2-2014. "Методи за оценка на съответствието на информационната сигурност на организациите на банковата система на Руската федерация с изискванията на ул. BBBS-1.0-2014 (4 издание)";

Освен това Банката на Русия разработи и въведе следните препоръки в областта на стандартизацията на IB:

1. RS BR IBBS-2.0-2007. "Методически препоръки за документация за информационна сигурност в съответствие с изискванията на ул. Бра IBBS-1.0";
2. RS BR IBBS-2.1-2007. "Насоки за самооценка на съответствието на информационната сигурност на организациите на банковата система на Руската федерация с изискванията на STR BR IBBS-1. 0 ";
3. RS BR IBBS-2.2-2009. "Методи за оценка на риска от информационна сигурност";
4. RS BR IBBS-2.5-2014. "Управление на инциденти със сигурността на информацията"

Първите трима документи са задължителни за всички банки, които са приели посочения стандарт като основна политика. Документ « Общи разпоредби» са основа за формиране на всички дейности за защита на информацията. Цялата структура е разделена на отделни блокове. Те описват подробно изискванията за безопасност, се дават специфични списъци с мерки за защита от определен блок. (виж таблица 1)

Таблица 1. Изисквания за сигурност на информацията

- при възлагане и разпространение на роли и осигуряване на доверие в персонала;

- в автоматизирани банкови системи (ABS) на етапите на жизнения цикъл;

- при управление на достъпа и регистрацията на потребителите;

- с помощта на антивирусна защита;

- при използване на интернет ресурсите;

- при използване на средствата за криптографска защита на информацията;

- в банковите платежни технологични процеси;

- при работа с лични данни;

- Заглавието на хотела е издадено изискванията за системата за управление на информационната сигурност.

Документ "Одит на информационната сигурност" Най-малките от всички, посочват необходимостта от извършване на одит на системата IB, и също така се позовава на годишната самооценка в съответствие с изискванията на стандарта. Данните за окончателната самооценка служат като основа за формуляра за докладване в случай на тестване от Централната банка и сключването на съответствие с нивото на сигурност на системата за информационна сигурност на Банката от разкритите рискове и заплахи от IB.

И последния разглеждан документ "Методи за оценка на изискванията на IB" - Това е набор от методи и таблици за оценка със съответните полета за пълнене. Всяко събитие и мярка за защита осигуряват определена стойност на теглото при оценката на индикатора на групата. Съгласно резултатите от груповите индикатори, е съставена кръгова диаграма на съответствие с изискването за ул. Сутиен IBBS (виж фигура 2). Всички стойности на груповите индикатори са в диапазона от 0 преди 1 В които се разпределят още 6 нива на съответствие със стандарта, започвайки с нула, за да се определи резултатът. Банката на Русия препоръчва нива 4 и 5 (виж фигура 2). Съответно, колкото по-висока е стойността, толкова по-очаквана е защитената система. На кръгла диаграма тези сектори имат индикатор за зелено, червено - критично ниво.

Фигура 2. График на кръгови съображения Изисквания на STR BR IBBS

Какво друго можете да добавите - доста внимание се обръща на процесите за управление на информационната сигурност, по-специално, можете да разпределите Цикъл Deming.използвани от топ мениджърите в управлението на качеството (Фигура 3).

Фигура 3. Цикъл на гмуркане за SOCI BR St. IBBS

В новото издание Банката на Русия актуализира методологията за оценка на съответствието на информационната сигурност. Основните промени засегнаха подхода за оценка:

• всички изисквания сега се приписват на един от трите класа ( документиране, производителност , документация и изпълнение);
• оценката на груповите показатели се определя като аритметична средна (няма коефициенти на претегляне на частни показатели);
• въвежда се концепцията за коригиращи коефициенти, засягащи оценките в указанията и зависи от броя на напълно приложените изисквания на стандарта;
• стойността на индикатора M9 (общи изисквания за обработка на лични данни) се изчислява от общата схема (а не като минимум на стойностите на входящите лични показатели в предишната версия на стандарта).

Заслужава да се отбележи фактът, че става много по-дълго, за да се обърне внимание на документацията за процедурите за сигурност във вътрешните регулаторни документи на банките. Така, дори ако процедурата действително не е изпълнена, но е предоставена и документирана, тя увеличава резултата от вътрешния одит.

В сравнение с последната редакция, броят на частните показатели се е увеличил, както и стойностите на теглото на оценките са се променили (виж фигура 4).

Фигура 4. Промени в миналото и текущото издание на Str Br IBBS (според Infocontal Management, www. Km-ltd.com, 2014)

Трябва да се каже за едно по-важно допълнение по отношение на вградените механизми за защита на ABS - Банката на Русия издаде препоръки за "осигуряване на информационна сигурност на етапите на жизнения цикъл на автоматизираните банкови системи" (RS BR IBBS-2.6-2014 ). " Тяхната същност се крие във факта, че банките могат да се позовават на този документ, да определят изискванията на разработчиците на функционалността на софтуера по отношение на защитните механизми. Не трябва да забравяме, че това са препоръките, а не и изискванията, а Банката на Русия не може да наложи нищо, но ви позволява да излъчвате тези препоръки от името на банковата общност и това вече е промяна за по-добро.

Защита на личните данни в банките

Преди пускането на 5-то издание на STR BR IBBS-2014 защитата на личните данни в банките се основава на два документа: BR IBBS-2.3-2010. "Изисквания за безопасността на личните данни в информационните системи на личните данни на организациите банкова система Руската федерация "и RS BR IBBS-2.4-2010. "Секторният частен модел на заплахи за сигурността на личните данни, когато те се обработват в информационните системи на лични данни на организациите на банковата система на Руската федерация."

На практика тя изглеждаше така: те взеха частен индустриален модел на заплахи, предложен от централната банка, според методологическите препоръки, те определиха изискванията за защита на всеки CDN, въз основа на и номера и списъка на преработените данни и по-късно изгради списъка на необходимите събития върху тях.

Главното главоболие на специалистите в днешно време е, че настоящите изисквания работят до следващото издание на ул. BR IBBS - 2014, въпреки че по това време защитата на PDN вече е построена в съответствие с параграф 1119, а редът на Fstec No. 21 . С оглед на факта, че банките трябва да отговарят на приетия пакет от струнг IBBS, много от тях не са използвали не съответните техники и в резултат на това не отговарят на новите реалности на сигурността.

С пускането на тези две споменати регулаторни документи ситуацията се промени за по-доброто - някои стриктни изисквания за лицензиране бяха отменени, процедурите за класифициране на компактдиска, операторът на OPN се дава повече права за избор на мерки за защита. Таблица за изчисляване на изчисляването на залата за защита "Нивото на защита" и процедурите за безопасност, прилагани към тях, бяха представени по ред FSTEC № 21. Това позволи да се изравнят разликите в метода на защита на PDN в секторния стандарт на Централната банка и общото руско законодателство.

Актуализираният стандарт има нов термин "ресурс PDN", за който се формират изискванията за документация за индивидуални процедури, свързани с обработката на лични данни (раздел 7.10). Отделно се считат, свързани с унищожаването на лични данни: организациите получават възможност да унищожат PDN не веднага, но на периодична основа, но поне веднъж на всеки шест месеца.

Roskomnadzor е направен отделно обяснения за биометрични PDN файлове, като например снимките на служителите, ако такива се използват, за да се извърши режим на регистрация или са изложени на уебсайта на компанията като публично достъпни насоки, не попадат в специални изисквания за защита.

Към банките, които преди това са изпълнили изискванията за защита на ДП върху стария стандарт, да отговарят на новите изисквания, трябва да коригирате вътрешните си регулаторни документи, да пренасочите и пренасочите го и, в съответствие с нивото на сигурност, Определете за себе си нов списък на защитните събития. Бих искал да отбележа, че сега банките имат повече свобода при избора на средства и методи за защита, но прилагането на инструментите за информационна сигурност все още е разнообразно.

Информационна сигурност на националната платежна система

Националната платежна система (НПС), с оглед на най-новите събития, става все по-приоритет вътрешна политика държави. Руският президент Владимир Путин подписа закон за създаването на Русия национална система Платежни карти (NSPK) и осигуряване на непрекъсната работа на международните платежни системи. Операторът на НПК е създаден под формата на АД, 100% от активите на които принадлежат към Банката на Русия. Целта на проекта е посочена инфраструктура и информация за прилагането на изпълнението парични преводи Вътре в Русия, консолидира териториално в цялата страна оперативни центрове и платежни центрове.

Всъщност, преди освобождаването на закона, парите могат да се появят от "никъде" и изчезват в "никъде". С продукцията на закона, ситуацията се променя, НПК дава възможност за проследяване на всички парични операции, включително финансиране за съмнителни сделки и измамни операции, които могат да застрашат сигурността на гражданите или страната като цяло. В допълнение, грижи от парични редСпоред правителството е друга стъпка в борбата срещу подкупите.

За да се гарантира безопасността на НПУ, бяха освободени цялото удоволствие на актовете за подленти, които са основната разпоредба за защита на информацията в платежната система "от 13.06.2012 г. № 584. Но регламентът относно изискванията за осигуряване на защита на информацията при прилагането на паричен превод ... "От 09.06.2012 No. 382-P) отговаря за банката

С актуализацията на P-382 тенденциите на защита са изместени встрани:

• прилагане на банкомати и платежни терминали;
• приложения на пластични платежни карти;
• използване на интернет (отдалечени системи банкова служба (DBO) и мобилно банкиране);
• изисквания за процедурата за разработване и разпространение на специализиран софтуер, предназначени за използване от клиента при прехвърляне на средства;
• което е много доволно, разширяване на изискванията за повишаване на осведомеността на клиентите възможни рискове получаване на неоторизиран достъп до защитената информация и препоръчаните мерки за намаляване на тях;
• изискванията за необходимост от класифициране на банкомати и платежни терминали, резултатите от които следва да бъдат взети предвид при избора на мерки за защита;
• процедури за спиране на плащането чрез плащане от страна на оператора за прехвърляне на средства в случай на откриване на признаци на измамни действия;
• осигурени са процедури за защита от съвременни заплахи за сигурността, като например: чрез използване на специализирани фондове, които възпрепятстват неоторизирано четене на песни за платежни карти; защита на услугите, разположени в интернет от външни атаки (Dos-Attacks); фишинг защита (от фалшифицирани семейни ресурси \\ t на интернет).
• изискване за използване на платежни карти, оборудвани с микропроцесор, от 2015 г. и забраната за освобождаване на карти, които не са оборудвани с микропроцесор, след 1 януари 2015 г.;
• 29 нови показатели за оценка.

Информационна сигурност на платежните системи

Подобна ситуация се сгъва с помощта на пластмасови карти. В световната общност признатият стандарт за сигурност се счита за стандарт за защита на данните за платежната карта (PCI DSS), разработен от PCI SSC съвети. Тя включва такива картови марки като Visa, MasterCard, American Express, JCB и Discovery.

Стандартът PCI DSS описва изискванията за защита на данните на картодържателите, групирани на дванадесет тематични участъка. Основният акцент в стандарта PCI DSS е направен, за да се гарантира сигурността на мрежовата инфраструктура и защитата на съхранените данни за притежателите на платежни карти, като най-уязвимите по отношение на заплахите за поверителност. Следва също така да се отбележи, че стандартът регулира правилата за безопасно развитие, подкрепа и функциониране на платежните системи, включително процедурите за тяхното наблюдение. Еднакво важна роля е развитието и подкрепата на основата на регулаторните документи на системата за управление на информационната сигурност.

Международните платежни системи задължават организациите да подлежат на изискванията на стандарта, да преминат редовна проверка на спазването на тези изисквания, които рано или късно могат да засегнат NSPK. Въпреки това, сертифициране на руските банки на чуждестранни PCI Стандарт на DSS. Тя отиде доста бавно, а вътрешният аналог днес не е така.

Въпреки това, изпълнението на изискванията на P-382 и последния редакционен съвет на US BR IBBS-2014 е възможно до голяма степен да се подготви за преминаването на сертифициране на PCI DSS, тъй като много от неговите разпоредби се пресичат с изискванията на вътрешния документ : Антивирусна сигурност, криптиране, филтриране с защитни стени, отличие, проследяване на комуникационни сесии, както и мониторинг, одит и управление на системата IB (виж фигура 5).

Фигура 5. Сравнение на категориите защитена информация по различни стандарти (в съответствие с Центъра за сигурност на Урал, www.usssc.ru, 2014)

За разлика от всички чужди стандарти, руският 382-p е призован, за да стимулира местните разработчици и производители на инструменти за защита на информацията (ЗЗИ), като например, задължаващи темите на НПК, за да се гарантира използването на несъгласителен достъп от неоторизиран достъп , включително тези по определения начин процедурата за оценка на съответствието. В същото време, прилагането на чуждестранни производствени решения е ясно разрешено.

Освен това Банката на Русия засилва контрола върху съответствието на установените правила. В документа си, индикация № 2831-y от 09.06.2012 г. "за докладване, за да се гарантира защитата на информацията в платежните системи ..." изрично посочва в каква форма и с която трябва да се отчитат субектите на платежните системи на състояние на информационната сигурност в платежните системи.

Въпреки популярността и широко разпространените PCI DSS съществуват и други международни стандарти Безопасност на системите за калъф, които също бих искал да кажа малко. Един от тях е стандартът PCI PA-DSS (плащане на стандарт за сигурност на приложения). Определяне на заявления за обработка на данни за картодържателите и процеса на тяхното развитие. И, вторият - стандарт на промишлеността на платежната картичка за защита на транзакцията (PCI PTS), преди това PCI PED се отнася до производителите, които определят и прилагат технически параметри и система за управление на устройства, които поддържат набор от ПИН код и се използват за извършване на платежни транзакции.

Заключения

STR BR IBBS е много важен етап от еволюционния път на развитие на системата за вътрешна информационна сигурност. Това е една от първите индустрии и адаптирани за руската реалност на стандартите. Разбира се, това не е панацея от всички проблеми, все още има много проблеми, които специалистите се борят, но това е първият и много успешен опит, който ни довежда до препратките на най-добрата чужда практика.

Следвайки изискванията на стандарта, много банки се подготвят за международна сертификация за осигуряване на сигурността на PCI DSS платежни системи. Предоставят лични данни за защита в съответствие с най-новите изисквания на регулаторите. Годишният вътрешен одит, проведен за обективно проверка на сигурността на банките от съществени рискове и заплахи от IB, и мениджърите за по-ефективно планиране на изграждането и управлението на цялостна система за защита.

Съществуващите недостатъци и очевидни грешки, ние се надяваме ще бъдат коригирани в следните издания, чието освобождаване не е далеч. През пролетта на 2015 г. очакваме актуализиран P-382 и промените в комплекса BR EBBS могат да следват и следват. Все още мога да бъда доволен от октомврийския "стандарт на финансовите операции" TC 122 и не забравяме, че без значение колко добри са всички усилия на висшите власти, нашата безопасност все още е в нашите ръце!