Kust algab panga infoturve? Infoturve pankades: ib pankades

Kaitstud on igasugune dokumenteeritud teave, mille ebaseaduslik käitlemine võib tekitada kahju Pangale ja/või kliendile, kes oma andmed Pangale usaldas.

Selline teave hõlmab järgmist:

1. Kõik toimingud assigneeringute haldajate isiklikel kontodel.

2. Töötasu saamise tähtajad asutustele ja organisatsioonidele (“palga” lepingute alusel).

3. Kontrolli- ja audititöö plaanid.

4. Välis- ja sisekontrolli aktid.

5. Teave konkreetselt maksjalt saadud summade kohta.

6. Kirjavahetus õiguskaitseorganitega.

7. Juhtide koosolekutel arutatud ametlikku laadi teave.

8. Ettevõtete, firmade, pankade ja muude majandusüksuste ärisaladuseks olev teave.

9. Andmed "kauplemispäeva" töötlemiseks kasutatud tarkvara kohta.

10. “Tööpäeva” dokumentide liikumise skeem.

11. Struktuur automatiseeritud süsteemid, AS-i ja kaitstavate inforessursside haldamise kord, paroolide loetelud ja aktiivsete seadmete nimetused.

12. Infovoogude kirjeldus, haldamise telekommunikatsiooni topoloogia, AS-i elementide paigutusskeemid.

13. Infoturbe süsteem.

14. Teave teabe kaitsmise organisatsiooniliste ja tehniliste meetmete kohta.

15. Personal ja pangatöötajate arv.

16. Isikuandmed töötajate kohta.

17. Andmed töötaja isiklikust toimikust, tööraamatust, kaardilt F. nr T-2.

18. Teave kodaniku sissetulekute ja talle kuuluva vara kohta, teave selle kohta palgad ja muud töötajate hüvitised.

19. Kodanike avalduste ja töödistsipliini rikkumiste uurimise materjalid.

20. Muu panga tegevusega seotud teave, mille levitamise piirangud on dikteeritud ametlikest vajadustest.

AS-i ressursid hõlmavad andmeid, teavet, tarkvara, riistvara, teenuseid ja telekommunikatsiooni.

Teabekaitserežiim on seadistatud

  • riigisaladust sisaldava teabe osas panga infoturbe osakonna poolt vastavalt seadusele Venemaa Föderatsioon“Riigisaladuse kohta”;
  • seoses konfidentsiaalse dokumenteeritud teabega - teaberessursside omanik föderaalseaduse "Teabe, informatiseerimise ja teabe kaitse kohta" alusel;

1.4.2. Võimalikud ohud kaitstud teaberessurssidele

Tuvastatud ohud hõlmavad järgmist:

1. Volitamata juurdepääs.

2. Tahtlikud ja tahtmatud rikked arvutitehnoloogia, elektriseadmete jms töös, mis põhjustavad teabe kadumist või moonutamist.

3. Sidekanalite kaudu edastatava teabe pealtkuulamine, moonutamine või muutmine.

4. Ebaseaduslik juurdepääs teabele.

1.4.3. Inforessursside kaitse

Kaitstud teaberessursside võimalike ohtude ennetamine toimub:

1. Volitamata juurdepääsu eest- teabe volitamata juurdepääsu eest kaitsmise süsteemi loomine, mis on tarkvara- ja riistvaratööriistade ning organisatsiooniliste lahenduste kompleks.

Organisatsioonilised otsused hõlmavad järgmist:

· kaitstava AS-i asukohaobjekti turvalisuse tagamine, et vältida elektroonikaseadmete, teabekandjate, samuti elektroonikaseadmete ja sideliinide lisaandmete vargusi;

· AS-i turvaklassi valik vastavalt teabe töötlemise iseärasustele ja selle konfidentsiaalsuse tasemele;

· raamatupidamise korraldamine, teabekandjate, paroolide, võtmete säilitamine ja väljastamine, teenindusdokumentatsiooni hooldus, AS-i kuuluva uue tarkvara vastuvõtmine, samuti konfidentsiaalse teabe töötlemise tehnoloogilise protsessi edenemise jälgimine;

· asjakohase organisatsioonilise ja haldusdokumentatsiooni väljatöötamine.

Ülemaailmsete arvutivõrkudega ühendamine toimub alles pärast sellise ühenduse tegeliku vajaduse tuvastamist ja kõigi kaitsemeetmete võtmist.

2. Tahtlike ja tahtmatute ebaõnnestumiste vastu elektroonikaseadmete, elektriseadmete jms töös, mis põhjustab teabe kadumist või moonutamist.

Info- ja telekommunikatsioonisüsteemide toimimiseks vajalik tarkvara vormistatakse nimekirjana ja selle kasutamiseks peab olema kinnitatud haldaja.

Mis tahes programmide installimist tööjaamadesse viivad läbi ainult IT-spetsialistid. Tarkvara iseinstallimine on rangelt keelatud.

Konfidentsiaalse teabe kaitse moonutamise või hävimise eest seadmete ja seadmete töös esinevate rikete korral varundatakse kaitstud teave, kasutatakse katkematuid toiteallikaid. Varukoopiate tegemise sageduse ja korra määrab LAN-i administraator, lähtudes teabe ja andmebaasitarkvara säilitamise vajadusest.

3. Sidekanalite kaudu edastatava teabe pealtkuulamine, moonutamine või muutmine.

"Ametlikuks kasutamiseks" märgistusega konfidentsiaalse teabe edastamine avatud sidekanalite kaudu e-posti, faksi ja mis tahes muu suhtlusviisi kaudu ilma krüptimist kasutamata on keelatud.

E-posti kasutatakse panga ja teiste organisatsioonide vaheliseks dokumendivahetuseks. Tööpäeva lõpus lülitusseadmete paiknemiskohad plommitakse, uksed lukustatakse ning neile on kõrvaliste isikute juurdepääs ilma vastutava isiku saatjata keelatud. (Autsaiderid on ka pangatöötajad, kes oma funktsionaalsest vastutusest tulenevalt ei ole selle seadme tööga seotud).

Vastutavad isikud teostavad regulaarselt kogu telekommunikatsiooni visuaalset jälgimist, et tuvastada või õigeaegselt vältida katseid ühendada teabe hankimiseks spetsiaalseid seadmeid.

4. Ebaseaduslik juurdepääs teabele.

Teabe ebaseadusliku juurdepääsu vältimiseks tuleb piirata sisenemist ruumidesse, kus töödeldakse kaitse alla kuuluvat teavet.

Töötaja paigutab oma töökoha korraldamisel kuvari selliselt, et kõrvalistel isikutel oleks ekraanil kuvatava teabe vaatamine raskendatud.

Kui töötaja mingil põhjusel töökohalt lahkub, peab ta võrgust välja logima või monitori ekraani blokeerima.

1.4.4. Viirusekaitse

Milline peaks olema viirusetõrje?

Üldiselt panganduse viirusetõrje infosüsteem tuleks üles ehitada hierarhilisel põhimõttel:

  • üldised ettevõtte tasandi teenused - hierarhia 1. tase;
  • osakondade või filiaalide teenused - hierarhia 2. tase;
  • lõppkasutaja teenused – hierarhia 3. tase.

Kõigi tasandite teenused on ühendatud ühtseks arvutivõrku (moodustades ühtse infrastruktuuri) kohtvõrgu kaudu.

Kogu ettevõtte teenused peavad pidevalt toimima.

Juhtimist kõikidel tasanditel peavad läbi viima eripersonal, mille jaoks tuleb tagada tsentraliseeritud haldusvahendid.

Viirusetõrjesüsteem peab ettevõtte tasandil pakkuma järgmist tüüpi teenuseid:

  • tarkvarauuenduste ja viirusetõrje andmebaaside vastuvõtmine;
  • viirusetõrjetarkvara levitamise haldamine;
  • Viirusetõrje andmebaasi uuenduste haldamine;
  • süsteemi kui terviku töö jälgimine (hoiatuste saamine viiruse tuvastamise kohta, korrapärane põhjalike aruannete saamine süsteemi kui terviku toimimise kohta);

osakonna tasemel:

  • lõppkasutajate viirusetõrje andmebaaside värskendamine;
  • lõppkasutaja viirusetõrjetarkvara uuendamine, kohalike kasutajarühmade haldamine;
  • lõppkasutaja tasemel:
  • kasutajaandmete automaatne viirusetõrje.

Funktsionaalsed nõuded

  • Pult. Võimalus hallata kogu süsteemi ühest tööjaamast (näiteks administraatori tööjaamast).
  • Logide pidamine. Tööpäevikute pidamine mugavas, kohandatavas vormis.
  • Märguanded. Turvasüsteemil peab olema võimalus saata teateid käimasolevate sündmuste kohta.
  • Süsteemi jõudlus. Viirusetõrje koormuse taset on vaja reguleerida
  • Kaitse erinevat tüüpi viiruste eest. On vaja tagada viiruste tuvastamise võime käivitatavates failides ja dokumendimakrodes. Lisaks peavad olema ette nähtud mehhanismid tarkvarale tundmatute viiruste tuvastamiseks.
  • Töökohtade püsikaitse. Tööjaamad peavad käivitama tarkvara, mis skannib faile, kui need avatakse ja kettale kirjutatakse.
  • Viirusetõrje andmebaasi automaatne värskendamine. Peaks olema võimalik automaatselt vastu võtta viirusetõrje andmebaasi uuendusi ja värskendada klientidel viirusetõrje andmebaasi.

Üldnõuded

  • Viirusetõrjesüsteemi tarkvara- ja riistvarakomponendid peavad tagama integreeritud arvutuskeskkonna kujunemise, mis vastab järgmistele automatiseeritud süsteemide loomise üldpõhimõtetele:
  • Usaldusväärsus – süsteem tervikuna peab jätkama toimimist sõltumata üksikute süsteemisõlmede toimimisest ja tal peab olema rikkejärgselt taastumisvõimalus.
  • Skaleeritavus – viirusetõrjesüsteemi tuleb arendada arvestades kaitstavate objektide arvu kasvu.
  • Avatus - süsteem tuleks moodustada, võttes arvesse võimalust selle funktsioone ja koostist täiendada ja ajakohastada, ilma et see häiriks arvutuskeskkonna kui terviku toimimist.
  • Ühilduvus – viirusetõrjetarkvara toetab maksimaalset võimalikku arvu võrguressursse. Komponentide struktuur ja funktsionaalsed omadused peavad võimaldama koostoimet teiste süsteemidega.
  • Unifitseerimine (homogeensus) - komponendid peavad olema standardsed, tööstuslikud süsteemid ja tööriistad, millel on lai kasutusala ja mis on korduva kasutamisega tõestatud.
  • Lisaks peab süsteem tagama kasutatava viirusetõrje andmebaasi regulaarse uuendamise ning sisaldama mehhanisme senitundmatute viiruste ja makroviiruste otsimiseks, mis on hetkel levinumad ja ohtlikumad.

Nõuded süsteemi töökindlusele ja toimimisele

  • Viirusetõrjesüsteem ei tohiks segada teiste kasutatavate rakenduste loogikat.
  • Süsteem peab võimaldama naasta viirusetõrje andmebaaside eelmise versiooni kasutamise juurde.
  • Süsteem peab töötama selle objekti (tööjaama/serveri) töörežiimis, millele see on paigaldatud.
  • Süsteem peab teavitama süsteemiadministraatorit rikete või viiruste tuvastamise korral.

1. Esimesel tasemel on ühendus Interneti või sideteenuse pakkuja võrguga kaitstud - see on tulemüür ja meiliväravad, kuna statistika järgi pärineb siit umbes 80% viirustest. Tuleb märkida, et sel viisil ei tuvastata rohkem kui 30% viirustest, kuna ülejäänud 70% tuvastatakse ainult täitmise ajal.

Viirusetõrjevahendite kasutamine tulemüüride jaoks taandub tänapäeval Interneti-juurdepääsu filtreerimisele, kontrollides samal ajal läbivat liiklust viiruste suhtes.

Selliste toodete poolt läbiviidav viirusetõrje aeglustab oluliselt tööd ja on äärmiselt madala tuvastamistasemega, seetõttu ei ole kasutajate külastatud veebisaitide filtreerimise vajaduse puudumisel selliste toodete kasutamine soovitatav.

2. Reeglina on kaitstud failiserverid, andmebaasiserverid ja kollektiivsete töösüsteemide serverid, kuna need sisaldavad kõige olulisemat infot. Viirusetõrje ei asenda teabe varundustööriistu, kuid ilma selleta võib tekkida olukord, kus varukoopiad on nakatunud ja viirus aktiveerub kuus kuud pärast nakatumist.

3. Ja lõpuks kaitske tööjaamu; kuigi need ei sisalda olulist teavet, võib kaitse oluliselt lühendada katastroofi taastamise aega.

Tegelikult kuuluvad viirusetõrje alla kõik pangainfosüsteemi komponendid, mis on seotud teabe edastamise ja/või selle säilitamisega:

Ø failiserverid;

Ø Tööjaamad;

Ø Mobiilsete kasutajate tööjaamad;

Ø Varuserver;

Ø E-posti server;

Ø Tööjaamade (sh mobiilsete kasutajate) kaitse peaks toimuma viirusetõrjevahendite ja tööjaamade võrguvarjestusvahenditega.

Võrguvarjestustööriistad on mõeldud eelkõige mobiilikasutajate kaitsmiseks Interneti kaudu töötamisel, samuti ettevõtte LAN-tööjaamade kaitsmiseks sisemiste turvapoliitika rikkujate eest.

Tööjaamade tulemüüride peamised omadused:

Juhtige ühendusi mõlemas suunas

Lubage teadaolevatel rakendustel ilma kasutaja sekkumiseta Internetti juurde pääseda (automaatne konfigureerimine)

Konfiguratsiooniviisard rakenduse kohta (ainult installitud rakendused võib näidata võrgutegevust)

Muutke arvuti Internetis nähtamatuks (peidab pordid)

Hoiab ära tuntud häkkerite rünnakud ja Trooja hobused

Teavitage kasutajat häkkimiskatsetest

Kirjutage logifaili teavet ühenduste kohta

Vältige delikaatsete andmete saatmist ilma ette teatamata

Takistab serveritel teabe vastuvõtmist ilma kasutaja teadmata (küpsised)

Infosüsteemide viirusetõrje on kogu süsteemi kõige olulisem ja püsivam funktsioon majanduslik turvalisus purk. Selles küsimuses on ajutised lõdvestused ja standarditest kõrvalekalded vastuvõetamatud. Olenemata pangas juba olemasolevatest viirusetõrjelahendustest on alati kasulik teha täiendav audit ja hinnata süsteemi läbi sõltumatu ja pädeva eksperdi pilgu.

Pangad on nende loomisest peale pidevalt äratanud kuritegeliku maailma huvi. Ja seda huvi ei seostatud mitte ainult rahaliste vahendite hoidmisega krediidiasutustes, vaid ka sellega, et pangad sisaldasid olulist ja sageli salajast teavet paljude inimeste, ettevõtete, organisatsioonide ja isegi tervete riikide finants- ja majandustegevuse kohta. Praegu on pangasaladus koos riigisaladusega kaitstud seadusega.

Seoses pangandustegevuse üldise informatiseerimise ja arvutistamisega on pankade infoturbe tähtsus kordades kasvanud. Veel 30 aastat tagasi olid inforünnakute sihtmärgiks andmed pangaklientide või panga enda tegevuse kohta. Sellised rünnakud olid haruldased, nende klientide ring oli väga kitsas ja kahju võis olla märkimisväärne vaid erijuhtudel. Praegu on elektrooniliste maksete, plastkaartide ja arvutivõrkude laialdase leviku tulemusena nii pankade kui ka nende klientide rahad sattunud inforünnakute objektiks. Varguse katseid võib teha igaüks – vaja on vaid internetti ühendatud arvutit. Pealegi pole selleks vaja füüsilist panka sisenemist, saate “töötada” tuhandete kilomeetrite kaugusel.

Pankade pakutavad teenused põhinevad tänapäeval suures osas pankade, pankade ning nende klientide ja kaubanduspartnerite vahelise elektroonilise suhtluse vahendite kasutamisel. Praeguseks on muutunud võimalikuks ligipääs pangateenustele erinevatest kaugpunktidest, sealhulgas koduterminalidest ja kontoriarvutitest. See asjaolu sunnib meid eemalduma 1960. aastatel panku iseloomustanud “lukustatud ukse” kontseptsioonist, mil arvuteid kasutati enamikul juhtudel abivahendina ja neil puudus seos välismaailmaga.

Arvutisüsteemid, ilma milleta keegi hakkama ei saa kaasaegne pank, on täiesti uute, senitundmatute ohtude allikas. Enamik neist on tingitud uute infotehnoloogiate kasutamisest panganduses ja pole iseloomulikud mitte ainult pankadele.

Automatiseerimisseadmete tase mängib panga tegevuses olulist rolli ning mõjutab seetõttu otseselt panga positsiooni ja tulusid. Pankade vahelise konkurentsi tihenemine toob kaasa vajaduse vähendada arveldusaega, suurendada pakutavate teenuste valikut ja parandada pakutavate teenuste kvaliteeti.

Mida vähem aega kulub arveldamiseks panga ja klientide vahel, seda suurem on panga käive ja sellest tulenevalt ka kasum. Lisaks suudab pank kiiremini reageerida muutustele finantsolukorras. Pangateenuste mitmekesisus (peamiselt on see seotud sularahata maksete võimalusega panga ja tema klientide vahel plastkaarte kasutades) võib märkimisväärselt suurendada tema klientide arvu ja selle tulemusena kasumit. Samal ajal muutub panga põhipangandussüsteem üheks haavatavamaks punktiks kogu organisatsioonis, meelitades ligi ründajaid nii väljastpoolt kui ka panga töötajate hulgast. Enda ja oma klientide kaitsmiseks rakendab enamik panku vajalikke kaitsemeetmeid, mille hulgas on ABS-kaitsel üks tähtsamaid kohti. Panga põhipangasüsteemi kaitsmine on kulukas ja keeruline ettevõtmine, mis ei nõua mitte ainult olulisi ühekordseid investeeringuid, vaid sisaldab ka kulusid turvasüsteemi õigel tasemel hoidmiseks. Praegu kulutavad pangad piisava kaitsetaseme säilitamiseks keskmiselt üle 20 miljoni dollari aastas.

Pankade infoturbestrateegia erineb oluliselt teiste ettevõtete ja organisatsioonide sarnastest strateegiatest. Selle põhjuseks on eelkõige ohtude eripära, aga ka pankade avalik tegevus, mis on sunnitud klientide mugavuse huvides ligipääsu kontodele üsna lihtsaks tegema.

Tavaline ettevõte ehitab oma infoturbe üles ainult kitsale hulgale võimalikele ohtudele tuginedes – peamiselt kaitstes infot konkurentide eest (Venemaa tegelikkuses on põhiülesanne info kaitsmine maksuhaldurid ja kuritegelik kogukond, et vähendada maksumaksete kontrollimatu kasvu ja väljapressimise tõenäosust). Selline teave pakub huvi ainult kitsale huvitatud isikute ja organisatsioonide ringile ning on harva likviidne, st rahasse konverteeritav.

7.2. Pangainfo turvanõuded

Infoturbe Pank peab võtma arvesse järgmisi konkreetseid tegureid:

  1. Säilitatud ja töödeldud pangandussüsteemid teave esindab päris raha. Arvutiinfo põhjal saab teha makseid, avada laene ja kanda olulisi summasid. On täiesti selge, et sellise teabe ebaseaduslik manipuleerimine võib kaasa tuua tõsiseid kaotusi. See funktsioon laiendab järsult panku konkreetselt ründavate kurjategijate ringi (erinevalt näiteks tööstusettevõtetest, siseinfo millest vähesed on huvitatud).
  2. Pangasüsteemides olev teave mõjutab paljude inimeste ja organisatsioonide - pangaklientide - huve. Reeglina on see konfidentsiaalne ja pank vastutab oma klientide ees nõutava saladuse hoidmise eest. Loomulikult on klientidel õigus eeldada, et pank peab hoolitsema nende huvide eest, vastasel juhul seab ta ohtu oma maine koos kõigi sellest tulenevate tagajärgedega.
  3. Panga konkurentsivõime sõltub sellest, kui mugav on kliendil pangaga koostööd teha ning kui lai on pakutavate teenuste valik, sealhulgas kaugjuurdepääsuga seotud teenused. Seetõttu peab klient saama oma rahaga kiiresti ja ilma tüütute protseduurideta hakkama. Kuid rahale juurdepääsu lihtsus suurendab pangandussüsteemidesse kuritegeliku imbumise tõenäosust.
  4. Panga infoturve (erinevalt enamikust ettevõtetest) peab tagama arvutisüsteemide kõrge töökindluse ka hädaolukordades, kuna pank ei vastuta mitte ainult omavahendite, vaid ka klientide raha eest.
  5. Pank salvestab olulist teavet oma klientide kohta, mis laiendab potentsiaalsete ründajate ringi, kes on huvitatud sellise teabe vargusest või kahjustamisest.

Kuriteod sisse pangandussektor neil on ka oma omadused:

  • Paljud finantssektoris toime pandud kuriteod jäävad teadmata üldsusele tulenevalt sellest, et pangajuhid ei taha oma aktsionäre häirida, kardavad oma organisatsiooni uute rünnakute alla sattuda, kardavad rikkuda oma mainet usaldusväärse fondide hoidjana ja selle tulemusena kaotada kliente.
  • Ründajad kasutavad reeglina oma kontosid, kuhu varastatud summad kantakse. Enamik kurjategijaid ei tea, kuidas varastatud raha pesta. Võime toime panna kuritegu ja raha hankimise võimalus ei ole sama asi.
  • Enamik arvutikuritegusid on väikesed. Nende tekitatud kahju ulatub 10 000 kuni 50 000 dollarini.
  • Edukad arvutikuriteod nõuavad tavaliselt palju pangatoimingud(kuni mitusada). Suured summad saab aga saata vaid mõne tehinguga.
  • Enamik ründajaid on madala tasemega pangatöötajad, ametnikud. Kuigi ka kõrgemad pangatöötajad võivad toime panna kuritegusid ja tekitada pangale palju suuremat kahju, on sellised juhtumid harvad.
  • Arvutikuriteod ei ole alati kõrgtehnoloogilised. Piisab andmete võltsimisest, ABS keskkonna parameetrite muutmisest jms ning need toimingud on ka hoolduspersonalile kättesaadavad.
  • Paljud kurjategijad selgitavad oma tegusid sellega, et nad lihtsalt laenavad pangast raha ja maksavad selle siis tagasi. Reeglina “tagasi” siiski ei esine.

Pankade automatiseeritud infotöötlussüsteemide (ABS) kaitse spetsiifilisuse määravad nende lahendatavate ülesannete omadused:

  • ABS töötleb reaalajas suurt voogu pidevalt sissetulevaid päringuid, millest igaühe töötlemiseks ei ole vaja arvukalt ressursse, kuid neid kõiki koos saab töödelda ainult suure jõudlusega süsteem.
  • ABS salvestab ja töötleb konfidentsiaalset teavet, mis ei ole mõeldud laiemale avalikkusele. Selle võltsimine või lekkimine võib kaasa tuua tõsiseid tagajärgi (pangale või selle klientidele). Seetõttu on ABS määratud jääma suhteliselt suletuks, töötama spetsiifilise tarkvara kontrolli all ja pöörama suurt tähelepanu oma ohutuse tagamisele.
  • Teine ABS-i omadus on suurenenud nõuded riist- ja tarkvara töökindlusele. Seetõttu on enamik kaasaegseid põhipangasüsteeme üles ehitatud tõrketaluvusega arvutivõrgu arhitektuuri abil, mis võimaldab pidevat infotöötlust ka erinevate rikete ja rikete korral.

ABS-i abil lahendatakse kahte tüüpi probleeme:

  1. Analüütiline. See tüüp hõlmab planeerimise, kontoanalüüsi jms ülesandeid. Need ei tööta ja nende lahendamine võib võtta kaua aega ning nende tulemused võivad mõjutada panga poliitikat konkreetse kliendi või projekti suhtes. Seetõttu peab alamsüsteem, mille abil analüütilisi probleeme lahendatakse, olema peamisest infotöötlussüsteemist usaldusväärselt eraldatud ning lisaks tulemuste võimalikku väärtust silmas pidades peab nende kaitse olema konstantne.
  2. Töökorras. Sellesse tüüpi kuuluvad igapäevaste tegevuste käigus tehtavad ülesanded, eelkõige maksete tegemine ja kontode korrigeerimine. Just nemad määravad kindlaks panga põhisüsteemi suuruse ja võimsuse; nende lahendamine nõuab tavaliselt palju rohkem ressursse kui analüüsiülesanded. Samas on selliste probleemide lahendamisel töödeldava info väärtus ajutine. Järk-järgult muutub info väärtus, näiteks makse sooritamise kohta, tähtsusetuks. Loomulikult sõltub see paljudest teguritest, nagu: makse suurus ja aeg, konto number, lisaomadused jne. Seetõttu piisab tavaliselt makse kaitse tagamisest selle teostamise hetkel. Samal ajal peab töötlemisprotsessi enda ja lõpptulemuste kaitse olema pidev.

7.3. Meetodid teabe kaitsmiseks automatiseeritud andmetöötlussüsteemides

Infokaitse all infosüsteemides (IS) mõistetakse neis olevate vahendite ja meetodite regulaarset kasutamist, meetmete võtmist ja tegevuste elluviimist, et tagada süstemaatiliselt säilitatava ja töödeldava teabe nõutav usaldusväärsus. Teabe usaldusväärsusintegraalne indikaator, mis iseloomustab teabe kvaliteeti füüsilise terviklikkuse (teabeelementide moonutamise või hävitamise puudumine), teabe usaldusväärsuse (asendamise puudumise kindlus) ja turvalisuse – loata vastuvõtmise ja kopeerimise puudumine.

Integreeritud infoturbe komponendid:

  • organisatsioonilised turvameetmed;
  • füüsilised turvameetmed: hoonete, ruumide, arvutite, transporditavate dokumentide jms turvalisus ja kaitse.
  • riistvara turvalisuse tagamine: arvutite ja võrguseadmete usaldusväärse töö tagamine;
  • sidekanalite turvalisuse tagamine: sidekanalite kaitsmine välismõjude eest;
  • tarkvara ja matemaatika turvalisuse tagamine: kaitse viiruste, häkkerite, konfidentsiaalset teavet varastava pahavara eest.

Teatavasti pannakse 80% varguse, teabe kahjustamise või moonutamisega seotud kuritegudest toime ettevõtte töötajate osalusel. Seetõttu on juhtkonna, personaliosakonna ja turvateenistuse kõige olulisem ülesanne töötajate hoolikas valimine, volituste jaotamine ja teabeelementidele juurdepääsu süsteemi ülesehitamine, samuti töötajate distsipliini ja käitumise jälgimine. , luues meeskonnas hea moraalse kliima.

Organisatsioonilised vahendid infokaitse on organisatsioonilised, tehnilised ja organisatsioonilis-õiguslikud erimeetmed, mida rakendatakse teabekaitse tagamise eesmärgil süsteemi loomise ja toimimise käigus.

Seadusandlik infokaitsevahendid on määratletud kui õigustloovad aktid, mis reguleerivad teabe kasutamist ja töötlemist, juurdepääsupiiranguid ning kehtestavad vastutuse ja sanktsioonid nende reeglite rikkumise eest.

Tehnilised vahendid jagunevad füüsiline(lukud, trellid, signalisatsioonisüsteemid jne) ja riistvara(lukud, blokeeringud, signalisatsioonid ja muud seadmed, mida kasutatakse vahetult arvutiseadmetel ja andmeedastuskandjatel). Tarkvara Infokaitse tähendab süsteemitarkvara sisseehitatud spetsiaalseid infokaitsevahendeid, mis iseseisvalt või koos muude vahenditega kaitsevad süsteemis olevat informatsiooni.

Tarkvara infoturve tähendab:

  1. Tarkvara kasutaja tuvastamine ja nende volituste määratlemine.
  2. Tarkvara terminali identifitseerimine.
  3. Tarkvara failikaitse.
  4. Tarkvara OS ja arvuti kaitse ja kasutajaprogrammid.
  5. Abiprogrammid erinevatel eesmärkidel.

Krüptograafiline tähendab teabekaitse - teabe spetsiaalse kodeerimise, krüptimise või muul viisil ümberkujundamise meetodid, mille tulemusena muutub sisu kättesaamatuks ilma mingit eriteavet esitamata ja pöördtransformatsioonita. Krüptograafiliste meetodite kasutamine on muutunud eriti aktuaalseks tänapäeval seoses suurte riigi-, sõjaväe-, äri- ja erateabe edastamisega avatud Interneti kaudu. Andmebaasides salvestatud ja kohalike võrkude kaudu edastatava teabe kaotsimineku, avalikustamise ja moonutamise tõttu tekkivate kahjude kõrge maksumuse tõttu on tänapäevastes infosüsteemides soovitatav salvestada ja edastada teavet krüpteeritud kujul.

Krüptograafiline süsteem- algoritmide perekond lihtteksti teisendamiseks šifreeritud tekstiks.

Tähestik- teabe kodeerimiseks kasutatav piiratud märkide kogum. Järgnevalt on toodud näited tänapäevastes infosüsteemides kasutatavate tähestike kohta:

  • tähestik Z33 - 32 vene tähestiku tähte ja tühik;
  • tähestik Z256 - standardsetes ASCII koodides sisalduvad märgid;
  • kahendtähestik - Z2 = (0,1).

Krüpteerimine hõlmab algteksti T teisendamist võtme K abil šifrtekstiks t. Võti- asendatav šifrielement, mida kasutatakse konkreetse sõnumi krüptimiseks. Krüptimisel kasutatakse mõistet "gamma šifr" - see on pseudojuhuslik arvjada, mis genereeritakse antud algoritmi järgi avatud andmete krüptimiseks ja šifrigrammide dekrüpteerimiseks.

Võtme kasutuse olemuse põhjal võib tuntud krüptosüsteemid jagada kahte tüüpi: sümmeetriline(ühe võtmega, salajase võtmega) ja asümmeetriline(avaliku võtmega).

Esimesel juhul kasutavad saatja krüptija ja saaja dekrüpteerija sama võtit. Krüpteerija loob šifri, mis on lihtteksti funktsioon; krüpteerimisfunktsiooni konkreetne tüüp määratakse salajase võtmega. Sõnumi saaja dekrüpteerija teostab pöördkonversiooni sarnasel viisil. Salavõtit hoitakse salajas ja sõnumi saatja edastab selle adressaadile turvalise kanali kaudu, mis takistab võtme pealtkuulamist vaenlase krüptoanalüütiku poolt.

Krüpteerimine toimub asendus- ja permutatsioonimeetodite abil. Lihtsaim, kuid dešifreerimata krüpteerimine hõlmab tekstimärkide asendamist juhuslike sümbolite või numbritega. Sel juhul peab võtme pikkus ühtima teksti pikkusega, mis on suure infohulga puhul ebamugav. Võtit kasutatakse üks kord ja seejärel hävitatakse, mistõttu seda meetodit nimetatakse "pisarapadja krüptimiseks".

Tegelikkuses toimub krüpteerimine binaarkoodis, kasutades lühikesi võtmeid - rahvusvahelises standardis DES (Data Encryption Standard), mis töötab 64-baidiste andmeplokkidega (1998), GOST 28147-s - 89 - 256 baiti, mis tagab oluliselt suurema krüptograafia. tugevus . Lühivõtme põhjal loob arvuti pika gammavõtme, kasutades ühte mitmest DES või GOST krüpteerimisstandardis sätestatud algoritmist. Gamma – gamma – loomise algoritmid põhinevad asenduste ja nihkete seeriatel, kasutades võimalusel šifriteksti. Krüpteerimisalgoritmid ei ole salajased, salajased on ainult võtmed. Võtmete levitamiseks avalikes võrkudes kasutatakse järgmist tehnoloogiat: esimese järgu võtmed edastatakse kullerite kaudu, nende alusel krüpteeritakse ja edastatakse võrkude kaudu dokumentide krüpteerimiseks kasutatavad teise järgu võtmed.

Enamik kaasaegsed süsteemid krüptimisel kasutatakse asümmeetrilisi algoritme avaliku ja privaatvõtmega, kus võtme turvalise transpordiga pole probleemi. Selliste süsteemide hulka kuulub arendajate järgi nime saanud rsa algoritm (rivest-shamir-adleman – selle süsteemi arendajad olid Ronald Rivest, Adi Shamir ja Leonard Adleman, 1977), mis põhineb suurte arvude faktoriseerimisel.

IN asümmeetrilised krüptosüsteemid(avaliku võtmega krüptosüsteemid) krüpteerimis- ja dekrüpteerimisalgoritmid kasutavad erinevaid võtmeid, millest kumbagi ei ole võimalik saada teiselt vastuvõetava aja- ja muude ressurssidega. Ühte võtit - avalikku - kasutatakse teabe krüpteerimiseks, teist - salajast - kasutatakse selle dekrüpteerimiseks, st sõnumit saab lugeda ainult see, kellele see on mõeldud, näiteks ettevõtte juht, kes saab sõnumeid tema paljud agendid.

Elektroonilise allkirja süsteemid põhinevad asümmeetrilisel krüptimisel, kuid salajase võtme salvestab sõnumite saatja ja paljudel inimestel on avalik võti, mis on loodud saladuse põhjal matemaatilise teisendusega. Avaliku võtme võib saata koos sõnumiga. Kuid sel juhul ei krüpteerita mitte sõnumit ennast, vaid selle räsifunktsiooni, mis saadakse sõnumist, teisendades seda teatud algoritmi abil ja hõivates vaid mõne baidi. Sõnumi tekstis vähemalt ühe biti muutmine toob kaasa olulise muutuse räsifunktsioonis. Sõnumi saaja saab dekrüpteerida sõnumiga koos saadetud krüpteeritud räsifunktsiooni, luua vastuvõetud sõnumist tuntud algoritmi abil räsifunktsiooni ning võrrelda lahtikrüptitud ja rekonstrueeritud räsifunktsioone. Nende kokkulangevus tagab vastuvõetud dokumendi terviklikkuse, st selles, et selles pole moonutusi. Saaja ei saa vastuvõetud dokumendis muudatusi teha, kuna ta ei saa uut räsifunktsiooni krüptida. Seetõttu on elektroonilisel allkirjal samasugune juriidiline jõud kui tavalisel paberil allkirjal ja pitseriga. Elektrooniliste allkirjasüsteemide salajased ja avalikud võtmed, programmid ja seadmed tarnivad FSB-litsentsiga ettevõtted, kes võivad vajadusel esitada kohtule võtmete koopiad.

Kaitseks on kaks peamist meetodit: tarkvara ja riistvara. Tarkvaralise andmekaitsemeetodi hea külg on see, et suhteliselt väikese investeeringuga saate programmi, mis tagab teabe salvestamisel vajaliku töökindluse. Kuid tarkvaral on mitmeid olulisi puudusi, mida peaksite selle tee valimisel teadma:

  • tavaliselt töötavad aeglasemalt kui riistvaralised;
  • mis tahes programmi saab avada, see on vaid aja ja spetsialisti kvalifikatsiooni küsimus;
  • Kui andmekandja varastatakse, varastatakse ka programm.

Riistvaral on ka mitmeid miinuseid: nende arendus on kallim, lisanduvad tootmis- ja hoolduskulud, riistvarasüsteem on keerulisem ja nõuab lisaks riistvarale ka tarkvara.

Kuid riistvara kasutamise eelised on ilmsed:

  • kiire töö ilma süsteemiressursse kaasamata;
  • riistvaraprogrammi on võimatu tungida ilma seda varastamata;
  • Ilma riistvarata on kaitstud andmeid võimatu dekrüpteerida.

7.4. Infokaitse valdkonna õigustloovad aktid

Venemaa võtab meetmeid inforelvade ja arvutikuritegevuse vastu võitlemiseks. Vene Föderatsiooni riigiduumas on asetäitjarühm "Elektrooniline Venemaa" ning vastavate seaduste väljatöötamiseks peetakse infoturbe teemalisi ümarlaudu. Võeti vastu Vene Föderatsiooni turvaseadus, elektroonilise allkirja seadus ja teabe, informatiseerimise ja teabe kaitse seadus, mis näevad ette, et teavet kaitstakse samal viisil kui omaniku materiaalset vara. Valitsuse teabe turvalise edastamise tagamisega tegeles varem FAPSI, nüüd on selleks FSB ja FSO; äriteabe edastamise kaitsega tegelevad FSB litsentsitud ettevõtted. Välja on töötatud Vene Föderatsiooni riikliku tehnilise komisjoni juhend "Automatiseeritud süsteemid". Kaitse volitamata juurdepääsu eest teabele. Automatiseeritud süsteemide klassifikatsioon ja teabekaitsenõuded" ja vastavad riiklikud standardid:

GOST 28147-89. Infotöötlussüsteemid. Krüptograafiline kaitse. Krüptograafiline teisendusalgoritm;

GOST R 34. 10-94. Infotehnoloogia. Krüptograafilise teabe kaitse. Elektroonika arendamise ja kontrollimise kord digitaalne allkiri põhineb asümmeetrilisel krüptoalgoritmil;

GOST R 34. 11-94. Infotehnoloogia. Krüptograafilise teabe kaitse. Räsifunktsioon;

GOST R 50739-95. Arvutiseadmed. Kaitse volitamata juurdepääsu eest teabele. Üldised tehnilised nõuded.

Alates 2004. aastast kehtib uus riiklik turvastandard GOST/ISO IEC 15408 - 2002. Infotehnoloogiate turvalisuse hindamise üldkriteeriumid.

Standardi sünniaastaks võib lugeda aastat 1990 – just siis alustati Rahvusvahelise Standardiorganisatsiooni (ISO) egiidi all tööd infotehnoloogia (IT) turvahindamise valdkonna standardi loomisega. See dokument tõlgiti ja võeti aluseks GOST/ISO IEC 15408 - 2002 väljatöötamisel. Standardi nimi kujunes välja ajalooliselt. Töö selle kallal viidi läbi USA, Kanada, Suurbritannia, Prantsusmaa, Saksamaa ja Hollandi riiklike standardimisorganisatsioonide kaasabil ning taotleti järgmisi kontseptuaalseid eesmärke:

  • erinevate riiklike standardite ühtlustamine IT-turvalisuse hindamise valdkonnas;
  • usaldusväärsuse suurendamine IT-turvalisuse hinnangutes;
  • sertifikaatide vastastikusel tunnustamisel põhinevate IT-turbe hindamise kulude vähendamine.

Vene standard on rahvusvahelise standardi täpne tõlge. See võeti vastu Venemaa riikliku standardi dekreediga 4. aprillil 2002 nr 133, jõustumiskuupäevaga 1. jaanuar 2004. Selle GOST-i välimus ei kajasta mitte ainult Venemaa standardite täiustamise protsessi rahvusvaheliste kogemuste põhjal, vaid samuti osa Venemaa WTO-ga ühinemise valitsusprogrammist (teatavasti tuleb selle organisatsiooniga liitumisel kandidaatriigis ühtlustada tollimaksud, maksud, tootmisstandardid, kvaliteedistandardid ja mõned standardid infoturbe valdkonnas).

Uus standard toob kasutusele mõisted "oht" ja "profiil".

Turvaprofiil on "teatud tootekategooria või IT-süsteemide rakendamisest sõltumatu turvanõuete kogum, mis vastab tarbija konkreetsetele vajadustele".

Kõiki profiilis kirjeldatud turbemehhanisme nimetatakse objektide turvafunktsioonideks (TSF). Kaitseprofiil sisaldab ainult neid turvaelemente, mis on mõeldud ohtude eest kaitsmiseks ja vastavad turbepoliitikale.

Turvaeeldused on süsteemi käitamise konkreetsete tingimuste kirjeldus. Turvapoliitika on "üks või mitu turvareeglit, protseduuri, tava või juhist, mis juhivad organisatsiooni tegevust". Üldiselt esindab selline reeglistik tarkvaratoote teatud funktsionaalsust, mis on vajalik selle kasutamiseks konkreetses organisatsioonis.

Üks tasakaalustatumaid ja elujõulisemaid dokumente on Venemaa Panga tööstusesisene infoturbe standard. Selle viimane väljaanne (2006) viitab keskpanga selgele kavatsusele muuta dokumendi nõuandev olemus kohustuslikuks.

7.5. Pangakaartide valdkonna infoturbe standard

Maksekaarditööstuse andmeturbe standard (PCI DSS) on maksekaarditööstuse infoturbestandard, mille on välja töötanud rahvusvahelised maksesüsteemid Visa ja MasterCard.

Otsuse selle ühtse standardi loomiseks tegid rahvusvahelised maksesüsteemid seoses kasvava arvu ettevõtetega, kes teatasid, et neil on konfidentsiaalne teave oma klientide kontode kohta, mis on kadunud või varastatud.

Standardi eesmärgid:

  • elektrooniliste kauplemis- ja maksesüsteemide turvalisuse suurendamine;
  • turvalise keskkonna pakkumine kaardiomanike andmete salvestamiseks;
  • turvanõuete ebaühtluse vähendamine maksekaarditööstuses;
  • äriprotsesside kaasajastamine ja ratsionaliseerimine ning kulude vähendamine.

Nõuded PCI standard DSS kehtib kõikidele ettevõtetele, kes töötavad rahvusvaheliste maksesüsteemidega Visa ja MasterCard. Sõltuvalt töödeldavate tehingute arvust määratakse igale ettevõttele konkreetne tase koos vastavate nõuetega, mida nad peavad täitma. Standard nõuab ettevõtete iga-aastast auditit, aga ka kvartaalset võrguskaneerimist.

PCI andmeturbe standardit on rahvusvaheline maksesüsteem kasutusele võtnud alates 2006. aasta septembrist. VISA süsteem CEMEA regioonis kohustuslikuks ja seega laieneb selle mõju ka Venemaale. Seetõttu peavad VisaNetiga otse töötavad teenusepakkujad (töötluskeskused, makseväravad, Interneti-teenuse pakkujad) läbima standardi nõuete täitmise auditi. Vastasel juhul rakendab VISA ettevõtetele teatud karistusi.

Enesetesti küsimused

  1. Mis on peamine erinevus panganduse arvutisüsteemide ja tööstuslike arvutisüsteemide kaitsmise vahel?
  2. Milliseid tegevusi võib liigitada organisatsiooniliste kaitsemeetmete alla?
  3. Mis on "suletud ukse" põhimõte pankades ja miks ei saa seda praegu tõhusalt rakendada?
  4. Milliseid kaitsevahendeid saab liigitada füüsilisteks vahenditeks?
  5. Millised süsteemid, analüütilised või töökorras, nõuavad põhjalikumat turvatehnikat ja miks?
  6. Mis on krüptoteksti teisendamise meetodid?
  7. Mis on võti?
  8. Defineerige "hasartmängud". Miks seda nõutakse?
  9. Mis on "pisarapadjake" kodeerimine ja miks seda tänapäeval ei kasutata?
  10. Mis on võtme pikkus DES-standardi abil krüptimisel?
  11. Kas võtme pikkus erineb vastavalt Vene standardid rahvusvahelisest? Milline ta on?
    12. Töökoja nimi annotatsioon

    Ettekanded

    Esitluse pealkiri annotatsioon

Pangandustegevus on alati olnud seotud suure hulga konfidentsiaalsete andmete töötlemise ja säilitamisega. Esiteks on need isikuandmed klientide, nende hoiuste ja kõigi tehtud toimingute kohta.

Kogu krediidiasutustes säilitatav ja töödeldav äriteave on allutatud paljudele viirustele, riistvaratõrgetele, operatsioonisüsteemi tõrgetele jne. Kuid need probleemid ei saa põhjustada tõsist kahju. Igapäevane andmete varundamine, ilma milleta pole mõeldav ühegi ettevõtte infosüsteemi toimimine, vähendab teabe pöördumatu kadumise riski miinimumini. Lisaks on loetletud ohtude eest kaitsmise meetodid hästi välja töötatud ja laialt tuntud. Seetõttu tõusevad esile riskid, mis on seotud konfidentsiaalsele teabele volitamata juurdepääsuga (NCD).

Volitamata juurdepääs on reaalsus

Tänapäeval on konfidentsiaalse teabe varastamiseks kolm levinumat viisi. Esiteks füüsiline juurdepääs selle ladustamis- ja töötlemiskohtadele. Siin on palju võimalusi. Näiteks võivad ründajad öösel pangakontorisse sisse murda ja varastada kõvakettad koos kõigi andmebaasidega. Võimalik on isegi relvastatud haarang, mille eesmärk pole raha, vaid info. Võimalik, et pangatöötaja ise võib andmekandja territooriumist välja viia.

Teiseks kasutage varukoopiad. Enamikus pankades põhinevad oluliste andmete varundussüsteemid lindiseadmetel. Nad salvestavad loodud koopiad magnetlintidele, mis seejärel salvestatakse eraldi kohta. Juurdepääs neile on reguleeritud palju leebemalt. Nende transportimise ja ladustamise ajal saavad suhteliselt paljud inimesed neist koopiaid teha. Tundlike andmete varundamisega seotud riske ei tohiks alahinnata. Näiteks on enamik eksperte kindlad, et 2005. aastal müüki tulnud Vene Föderatsiooni Keskpanga tehingute andmebaasid varastati just tänu magnetlintidelt võetud koopiatele. Maailmapraktikas on teada palju sarnaseid juhtumeid. Eelkõige eelmise aasta septembris tarnija Chase Card Servicesi (JPMorgan Chase & Co. osakond) töötajad. krediitkaardid, viskas eksikombel minema viis varukoopiat, mis sisaldasid teavet 2,6 miljoni Circuit City krediidikonto omaniku kohta.

Kolmandaks on kõige tõenäolisem konfidentsiaalse teabe lekitamise viis pangatöötajate volitamata juurdepääs. Kasutades õiguste eraldamiseks ainult standardseid operatsioonisüsteemi tööriistu, on kasutajatel sageli võimalus kaudselt (teatud tarkvara abil) täielikult kopeerida andmebaasid, millega nad töötavad, ja viia need ettevõttest välja. Mõnikord teevad töötajad seda ilma pahatahtlike kavatsusteta, et lihtsalt kodus teabega töötada. Sellised tegevused on aga tõsine turvapoliitika rikkumine ja võivad põhjustada (ja põhjustavad!) konfidentsiaalsete andmete avalikustamist.

Lisaks on igas pangas rühm inimesi, kellel on kohalikus võrgus kõrgendatud õigused. Me räägime süsteemiadministraatoritest. Ühest küljest on neil seda vaja täita ametlikud kohustused. Kuid teisest küljest on neil võimalus pääseda juurde mis tahes teabele ja "oma jälgi varjata".

Seega peab pangainfo volitamata juurdepääsu eest kaitsmise süsteem koosnema vähemalt kolmest alamsüsteemist, millest igaüks pakub kaitset oma tüüpi ohtude eest. Need on alamsüsteem andmetele füüsilise juurdepääsu eest kaitsmiseks, alamsüsteem varukoopiate turvalisuse tagamiseks ja alamsüsteem siseringide eest kaitsmiseks. Ja soovitav on mitte ühtegi neist tähelepanuta jätta, kuna iga oht võib põhjustada konfidentsiaalsete andmete avalikustamise.

Kas pankade jaoks seadust pole?

Praegu reguleerib pankade tegevust föderaalseadus "Pankade ja pangandustegevuse kohta". Muuhulgas tutvustab see mõistet "pangasaladus". Selle kohaselt on iga krediidiasutus kohustatud tagama kõigi klientide hoiuste kohta käivate andmete konfidentsiaalsuse. Ta vastutab nende avalikustamise eest, sealhulgas teabe lekkimisest põhjustatud kahju hüvitamise eest. Samas puuduvad nõuded pangainfosüsteemide turvalisusele. See tähendab, et pangad teevad kõik äriandmete kaitset puudutavad otsused iseseisvalt, tuginedes oma spetsialistide kogemustele või kolmandate osapoolte ettevõtted(näiteks need, kes viivad läbi infoturbeauditeid). Ainus soovitus on Vene Föderatsiooni Keskpanga standard „Vene Föderatsiooni pangandussüsteemi organisatsioonide infoturbe tagamine. Üldsätted" See ilmus esmakordselt 2004. aastal ja 2006. aastal võeti vastu uus versioon. Selle osakonnadokumendi loomisel ja viimistlemisel kasutati kehtivaid Venemaa ja rahvusvahelisi infoturbe valdkonna standardeid.

Vene Föderatsiooni keskpank saab seda teistele pankadele ainult soovitada, kuid ei saa nõuda kohustuslikku rakendamist. Lisaks sisaldab standard vähe selgeid nõudeid, mis juhivad konkreetsete toodete valikut. See on kindlasti oluline, kuid Sel hetkel sellel pole tõsist praktilist tähtsust. Näiteks sertifitseeritud toodete kohta öeldakse see: "... võib kasutada sertifitseeritud või heakskiidetud vahendeid teabe kaitsmiseks volitamata juurdepääsu eest." Vastav nimekiri puudub.

Standardis on loetletud ka nõuded krüptograafilistele vahenditele teabe kaitsmiseks pankades. Ja siin on juba enam-vähem selge määratlus: "CIPF... tuleb rakendada algoritmide alusel, mis vastavad Vene Föderatsiooni riiklikele standarditele, vastaspoolega sõlmitud lepingu tingimustele ja (või) standarditele. organisatsioonist." Krüptomooduli vastavust standardile GOST 28147-89 saab kinnitada sertifikaadiga. Seetõttu on pangas krüpteerimissüsteemide kasutamisel soovitatav kasutada Vene Föderatsiooni FSB poolt sertifitseeritud tarkvara või riistvara krüptoteenuse pakkujaid, see tähendab väliseid mooduleid, mis ühendavad tarkvara ja rakendavad krüpteerimisprotsessi ise.

See võeti vastu mullu juulis föderaalseadus Vene Föderatsiooni “Isikuandmete kohta”, mis jõustus 1. jaanuaril 2007. Mõned eksperdid seostasid seda pangandusturvasüsteemide spetsiifilisemate nõuete tekkimisega, kuna pangad on isikuandmeid töötlevad organisatsioonid. Kuid seadus ise, mis on üldiselt väga oluline, ei ole tänapäeval praktikas rakendatav. Probleemiks on eraandmete kaitse standardite ja asutuste puudumine, kes saaksid nende rakendamist jälgida. See tähendab, et selgub, et pangad võivad praegu vabalt valida ärilise teabe kaitsesüsteeme.

Füüsiline juurdepääsu kaitse

Pangad pööravad traditsiooniliselt väga suurt tähelepanu tegutsevate filiaalide, väärisesemete hoidmise osakondade jms füüsilisele turvalisusele. Kõik see vähendab kommertsteabele volitamata juurdepääsu riski füüsilise juurdepääsu kaudu. Pangakontorid ja tehnilised ruumid, milles serverid asuvad, ei erine aga kaitsetaseme poolest tavaliselt teiste ettevõtete kontoritest. Seetõttu on kirjeldatud riskide minimeerimiseks vajalik kasutada krüptograafilist kaitsesüsteemi.

Tänapäeval on turul suur hulk utiliite, mis krüpteerivad andmeid. Nende töötlemise iseärasused pankades seavad aga vastavale tarkvarale lisanõudeid. Esiteks peab krüptograafiline kaitsesüsteem rakendama läbipaistva krüptimise põhimõtet. Selle kasutamisel on põhimälus olevad andmed alati ainult krüpteeritud kujul. Lisaks võimaldab see tehnoloogia minimeerida andmetega tavapärase töö kulusid. Neid ei pea iga päev dekrüpteerima ja krüpteerima. Juurdepääs teabele toimub serverisse installitud spetsiaalse tarkvara abil. See dekrüpteerib teabe automaatselt, kui sellele juurde pääsete, ja krüpteerib selle enne kõvakettale kirjutamist. Need toimingud tehakse otse serveri RAM-is.

Teiseks on panganduse andmebaasid väga suured. Seega peab krüptograafiline teabekaitsesüsteem töötama mitte virtuaalsete, vaid reaalsete kõvaketaste, RAID-massiivide ja muude serverisalvestusmeediumitega, näiteks SAN-mäluga. Fakt on see, et konteinerfailid, mida saab süsteemiga virtuaalketastena ühendada, ei ole mõeldud suure andmemahuga töötamiseks. Juhul, kui sellisest failist loodud virtuaalne ketas on suur, võib isegi mitme inimese samaaegsel juurdepääsul täheldada teabe lugemise ja kirjutamise kiiruse olulist vähenemist. Mitmekümne inimese töö suure konteinerfailiga võib muutuda puhtaks piinamiseks. Lisaks peate arvestama, et need objektid on viiruste, failisüsteemi tõrgete jms tõttu kahjustatud. Lõppude lõpuks on need sisuliselt tavalised failid, kuid üsna suured. Ja isegi väike muutus neis võib muuta kogu selles sisalduva teabe dekodeerimise võimatuks. Mõlemad kohustuslikud nõuded kitsendavad oluliselt kaitse rakendamiseks sobivate toodete valikut. Tegelikult on täna Venemaa turul vaid mõned sellised süsteemid.

Krüptograafilise teabe kaitse serverisüsteemide tehnilisi omadusi pole vaja üksikasjalikult käsitleda, kuna ühes eelmises numbris oleme neid tooteid juba võrrelnud. (Stoljarov N., Davletkhanov M. UTM kaitse.) Kuid tasub märkida selliste süsteemide mõningaid omadusi, mille olemasolu on pankade jaoks soovitav. Esimene on seotud juba mainitud kasutatava krüptomooduli sertifitseerimisega. Enamikul pankadel on vastav tarkvara või riistvara juba olemas. Seetõttu peab serveripõhine infoturbesüsteem tagama võimaluse nende ühendamiseks ja kasutamiseks. Teiseks infoturbesüsteemi erinõudeks on võime integreeruda kontori- ja/või serveriruumi füüsilise turvasüsteemiga. See võimaldab teil kaitsta teavet varguse, häkkimise jms põhjustatud volitamata juurdepääsu eest.

Pangad peaksid pöörama erilist tähelepanu teabe turvalisusele, kuna see on tegelikult klientide raha. Seetõttu peavad turvasüsteemil olema erilised võimalused, mis minimeerivad selle kadumise riski. Üks märgatavamaid on kõvaketta vigaste sektorite tuvastamise funktsioon. Lisaks on väga oluline võimalus ketta esialgset krüptimist, dekrüpteerimist ja uuesti krüpteerimist peatada ja tühistada. Need on üsna pikad protseduurid, mille käigus esinev rike ähvardab kõigi andmete täielikku kadumist.

Inimfaktoril on väga suur mõju konfidentsiaalsele teabele volitamata juurdepääsuga seotud riskidele. Seetõttu on soovitav, et turvasüsteem suudaks sellist sidet vähendada. See saavutatakse usaldusväärsete krüpteerimisvõtmete – kiipkaartide või USB-võtmete – salvestamise abil. Nende žetoonide lisamine tootesse on optimaalne, see võimaldab mitte ainult kulusid optimeerida, vaid tagab ka tarkvara ja riistvara täieliku ühilduvuse.

Teine oluline funktsioon, mis võimaldab minimeerida inimfaktori mõju turvasüsteemi töökindlusele, on võtmekvoorum. Selle olemus on jagada krüpteerimisvõti mitmeks osaks, millest igaüks antakse ühe vastutava töötaja kasutusse. Suletud draivi ühendamiseks on vaja kindlaksmääratud arvu osi. Lisaks võib see olla väiksem kui võtmeosade koguarv. Selline lähenemine võimaldab kaitsta andmeid vastutustundlike töötajate väärkasutuse eest ning tagab ka panga tööks vajaliku paindlikkuse.

Varunduskaitse

Regulaarne varundamine kogu pangas salvestatud teabest on absoluutselt vajalik vajalik meede. See võimaldab teil oluliselt vähendada kadusid selliste probleemide korral nagu andmete rikkumine viiruste poolt, riistvaratõrge jne. Kuid samal ajal suurendab see volitamata juurdepääsuga seotud riske. Praktika näitab, et andmekandjat, millele varukoopiad salvestatakse, tuleks hoida mitte serveriruumis, vaid mõnes teises ruumis või isegi hoones. Vastasel juhul võivad tulekahju või muu tõsise intsidendi korral nii andmed ise kui ka nende arhiivid pöördumatult kaduda. Varukoopiaid on võimalik usaldusväärselt kaitsta volitamata kasutamise eest ainult krüptograafia abil. Sel juhul saab turvatöötaja krüpteerimisvõtit kodus hoides ohutult edastada meediumit koos arhiividega tehnilistele töötajatele.

Varukoopiate krüptograafilise kaitse korraldamise peamiseks raskuseks on andmete arhiveerimise haldamise vastutuse eraldamise vajadus. Süsteemiadministraator või muu tehniline töötaja peab varundusprotsessi ise konfigureerima ja juurutama. Info krüpteerimist peab juhtima vastutav töötaja – turvatöötaja. Tuleb mõista, et enamikul juhtudel toimub broneerimine automaatselt. Seda probleemi saab lahendada ainult varukoopiahaldussüsteemi ja andmeid salvestavate seadmete (streamerid, DVD-draivid jne) vahele krüptograafilise kaitsesüsteemi "sisseehitamisega".

Seega, et krüptotooted saaksid pankades kasutusele võtta, peavad need suutma töötada ka erinevate seadmetega, mida kasutatakse varukoopiate salvestamiseks andmekandjatele: lindiseadmed, CD- ja DVD-seadmed, eemaldatavad kõvakettad jne.

Tänapäeval on kolme tüüpi tooteid, mis on loodud varukoopiatele volitamata juurdepääsuga seotud riskide minimeerimiseks. Esimene sisaldab spetsiaalseid seadmeid. Sellistel riistvaralahendustel on palju eeliseid, sealhulgas teabe usaldusväärne krüpteerimine ja suur kiirus. Siiski on neil kolm olulist puudust, mis takistavad nende kasutamist pankades. Esiteks: väga kõrge hind (kümneid tuhandeid dollareid). Teiseks: võimalikud probleemid Venemaale importimisel (ei tohi unustada, et jutt käib krüptograafilistest vahenditest). Kolmas puudus on suutmatus nendega ühendada väliseid sertifitseeritud krüptoteenuse pakkujaid. Need plaadid töötavad ainult riistvara tasemel krüpteerimisalgoritmidega.

Teine krüptograafiliste kaitsesüsteemide varusüsteemide rühm koosneb moodulitest, mida varundustarkvara ja riistvara arendajad oma klientidele pakuvad. Need on olemas kõigi selle valdkonna tuntumate toodete jaoks: ArcServe, Veritas Backup Exec jne. Tõsi, neil on ka oma omadused. Kõige tähtsam on töötada ainult “oma” tarkvara või draiviga. Samal ajal on panga infosüsteem pidevas arengus. Ja on võimalik, et varusüsteemi asendamine või laiendamine võib nõuda lisakulusid kaitsesüsteemi muutmiseks. Lisaks rakendab enamik selle grupi tooteid vanu aeglaseid krüpteerimisalgoritme (näiteks 3DES), puuduvad võtmehaldustööriistad ja väliste krüptoteenuste pakkujate ühendamise võimalus.

Kõik see sunnib meid pöörama suurt tähelepanu kolmanda rühma varukoopiate krüptograafilistele kaitsesüsteemidele. See hõlmab spetsiaalselt väljatöötatud tarkvara, riistvara ja tarkvaratooteid, mis ei ole seotud konkreetsete andmete arhiveerimissüsteemidega. Need toetavad laia valikut teabesalvestusseadmeid, mis võimaldab neid kasutada kogu pangas, sealhulgas kõigis selle filiaalides. See tagab kasutatavate kaitsevahendite ühtsuse ja vähendab kasutuskulusid.

Siiski väärib märkimist, et hoolimata kõigist nende eelistest on kolmanda rühma tooteid turul väga vähe. Tõenäoliselt on see tingitud krüptograafiliste varunduskaitsesüsteemide suure nõudluse puudumisest. Niipea, kui pankade ja teiste suurte organisatsioonide juhtkond mõistab äriteabe arhiveerimisega seotud riskide reaalsust, suureneb sellel turul osalejate arv.

Kaitse siseringi eest

Hiljutised uuringud infoturbe valdkonnas, nagu iga-aastane CSI/FBI arvutikuritegevuse ja turvalisuse uuring, on näidanud, et enamiku ohtude tõttu ettevõtetele saadav rahaline kahju väheneb aasta-aastalt. Siiski on mitmeid riske, millest tulenevad kahjud suurenevad. Üks neist on konfidentsiaalse teabe tahtlik vargus või selle käitlemise reeglite rikkumine nende töötajate poolt, kelle juurdepääs äriandmetele on vajalik ametiülesannete täitmiseks. Neid nimetatakse insaideriteks.

Enamikul juhtudel toimub konfidentsiaalse teabe vargus mobiilse meedia abil: CD-d ja DVD-d, ZIP-seadmed ja mis kõige tähtsam - kõikvõimalikud USB-draivid. See oli nende massiline levik, mis viis siseringi õitsenguni kogu maailmas. Enamiku pankade juhid teavad hästi, millised ohud võivad olla näiteks nende klientide isikuandmetega andmebaasi või pealegi nende kontodel tehtud tehingute sattumisel kuritegelike struktuuride kätte. Ja nad püüavad võidelda võimaliku teabevarguse vastu, kasutades neile kättesaadavaid organisatsioonilisi meetodeid.

Organisatsioonimeetodid on sel juhul aga ebaefektiivsed. Tänapäeval saab arvutite vahel teabe edastamist korraldada miniatuurse mälupulga, mobiiltelefoni, mp3-mängija, digikaamera abil... Muidugi võite proovida keelata kõigi nende seadmete kontorisse toomise, kuid see, esiteks, mõjutab negatiivselt suhteid töötajatega ja teiseks on inimeste üle tõeliselt tõhusa kontrolli loomine endiselt väga keeruline - pank pole "postkast". Ja isegi kõigi seadmete keelamine arvutites, millega saab kirjutada teavet välisele andmekandjale (FDD- ja ZIP-kettad, CD- ja DVD-draivid jne) ja USB-porti, ei aita. Esimesi on ju tööks vaja ja teised on ühendatud erinevate välisseadmetega: printerid, skannerid jne. Ja keegi ei saa keelata inimest minutikski printerit välja lülitamast, mälupulka vabasse porti sisestamast ja olulist infot sinna kopeerimast. Loomulikult võite leida originaalseid viise enda kaitsmiseks. Näiteks proovis üks pank seda probleemi lahendamise meetodit: nad täitsid USB-pordi ja kaabli ühenduskoha epoksüvaiguga, sidudes viimase tihedalt arvuti külge. Kuid õnneks on tänapäeval olemas kaasaegsemad, usaldusväärsemad ja paindlikumad kontrollimeetodid.

Kõige tõhusam vahend siseringi inimestega seotud riskide minimeerimiseks on spetsiaalne tarkvara, mis haldab dünaamiliselt kõiki seadmeid ja arvutiporte, mida saab kasutada teabe kopeerimiseks. Nende töö põhimõte on järgmine. Erinevate portide ja seadmete kasutamise õigused määratakse igale kasutajarühmale või igale kasutajale eraldi. Sellise tarkvara suurim eelis on paindlikkus. Saate sisestada piirangud teatud tüüpi seadmetele, nende mudelitele ja üksikutele eksemplaridele. See võimaldab teil rakendada väga keerulisi juurdepääsuõiguste levitamispoliitikaid.

Näiteks võite lubada mõnel töötajal kasutada USB-porti ühendatud printereid või skannereid. Kõik teised sellesse porti sisestatud seadmed jäävad aga kättesaamatuks. Kui pank kasutab žetoonidel põhinevat kasutaja autentimise süsteemi, siis seadetes saab määrata kasutatava võtmemudeli. Siis saavad kasutajad kasutada ainult ettevõtte ostetud seadmeid ja kõik teised on kasutud.

Eespool kirjeldatud kaitsesüsteemide tööpõhimõtte põhjal saate aru, millised punktid on olulised salvestusseadmete ja arvutiportide dünaamilist blokeerimist rakendavate programmide valimisel. Esiteks on see mitmekülgsus. Kaitsesüsteem peab hõlmama kogu võimalike portide ja sisend-/väljundseadmete valikut. Vastasel juhul püsib äriteabe varguse oht lubamatult kõrge. Teiseks peab kõnealune tarkvara olema paindlik ja võimaldama luua reegleid, kasutades suurt hulka erinevat teavet seadmete kohta: nende tüübid, mudelitootjad, igal eksemplaril olevad kordumatud numbrid jne. Ja kolmandaks peab siseringikaitse süsteem suutma integreeruda panga infosüsteemiga, eelkõige Active Directoryga. Vastasel juhul peab administraator või turvaametnik haldama kahte kasutajate ja arvutite andmebaasi, mis pole mitte ainult ebamugav, vaid suurendab ka vigade ohtu.

Võtame selle kokku

Seega on tänapäeval turul tooteid, mille abil iga pank saab korraldada usaldusväärse süsteemi teabe kaitsmiseks volitamata juurdepääsu ja väärkasutuse eest. Tõsi, nende valimisel peate olema väga ettevaatlik. Ideaalis peaksid seda tegema vastava taseme ettevõttesisesed spetsialistid. Kolmandate osapoolte ettevõtete teenuste kasutamine on lubatud. Sel juhul on aga võimalik olukord, kus pangale surutakse oskuslikult peale mitte adekvaatne, vaid tarnijafirmale kasulik tarkvara. Lisaks on infoturbealase nõustamise kodumaine turg lapsekingades.

Samal ajal pole õige valiku tegemine sugugi keeruline. Piisab, kui relvastada end meie loetletud kriteeriumidega ja uurida hoolikalt turvasüsteemide turgu. Kuid siin on üks lõks, mida tuleb meeles pidada. Ideaalis peaks panga infoturbesüsteem olema ühtne. See tähendab, et kõik alamsüsteemid peavad olema integreeritud olemasolevasse infosüsteemi ja soovitavalt ühise juhtimisega. Vastasel juhul on kaitse haldamise tööjõukulude suurenemine ja juhtimisvigade tõttu suurenenud riskid vältimatud. Seetõttu on kõigi täna kirjeldatud kolme kaitse alamsüsteemi ehitamiseks parem valida ühe arendaja välja antud tooted. Tänapäeval on Venemaal ettevõtteid, mis loovad kõik vajaliku pangateabe kaitsmiseks volitamata juurdepääsu eest.

Pankade infoturbestrateegia erineb oluliselt teiste ettevõtete ja organisatsioonide sarnastest strateegiatest. Selle põhjuseks on eelkõige ohtude eripära, aga ka pankade avalik tegevus, mis on sunnitud klientide mugavuse huvides ligipääsu kontodele üsna lihtsaks tegema.

Tavaline ettevõte ehitab oma infoturbe üles ainult kitsale hulgale potentsiaalsetele ohtudele tuginedes – peamiselt kaitstes teavet konkurentide eest (Venemaa tegelikkuses on põhiülesanne maksuameti ja kuritegeliku kogukonna eest teabe kaitsmine, et vähendada kontrollimatu suurenemise tõenäosust maksude tasumises ja väljapressimises). Selline info pakub huvi vaid kitsale huviliste ja organisatsioonide ringile ning on harva likviidne, s.t. konverteeritav rahaliseks vormiks.

Pangateabe turvalisuse tagamisel tuleb arvesse võtta järgmisi konkreetseid tegureid:

1. Pangasüsteemides salvestatud ja töödeldud teave kujutab endast pärisraha. Arvutiinfo põhjal saab teha makseid, avada laene ja kanda olulisi summasid. On täiesti selge, et sellise teabe ebaseaduslik manipuleerimine võib kaasa tuua tõsiseid kaotusi. See funktsioon laiendab järsult panku konkreetselt ründavate kurjategijate ringi (erinevalt näiteks tööstusettevõtetest, mille siseinfo ei paku kellelegi suurt huvi).

2. Pangasüsteemides olev info mõjutab suure hulga inimeste ja organisatsioonide – pangaklientide – huve. Reeglina on see konfidentsiaalne ja pank vastutab oma klientide ees nõutava saladuse hoidmise eest. Loomulikult on klientidel õigus eeldada, et pank peab hoolitsema nende huvide eest, vastasel juhul seab ta ohtu oma maine koos kõigi sellest tulenevate tagajärgedega.

3. Panga konkurentsivõime sõltub sellest, kui mugav on kliendil pangaga koostööd teha ning kui lai on pakutavate teenuste valik, sh kaugjuurdepääsuga seotud teenused. Seetõttu peab klient saama oma rahaga kiiresti ja ilma tüütute protseduurideta hakkama. Kuid rahale juurdepääsu lihtsus suurendab pangandussüsteemidesse kuritegeliku imbumise tõenäosust.

4. Panga infoturve (erinevalt enamikust ettevõtetest) peab tagama arvutisüsteemide kõrge töökindluse ka hädaolukordades, kuna pank ei vastuta mitte ainult omavahendite, vaid ka klientide raha eest.

5. Pank salvestab olulist teavet oma klientide kohta, mis laiendab potentsiaalsete ründajate ringi, kes on huvitatud sellise teabe vargusest või kahjustamisest.

Pangandussektori kuritegudel on ka oma eripärad:

    Paljud finantssektoris toimepandud kuriteod jäävad laiemale avalikkusele teadmata, kuna pangajuhid ei taha oma aktsionäre häirida, kardavad oma organisatsiooni uutele rünnakutele avastada ning kardavad rikkuda oma mainet panga usaldusväärse depoopangana. rahalisi vahendeid ja selle tulemusena klientide kaotamist.

    Ründajad kasutavad reeglina oma kontosid, kuhu kantakse varastatud summad. Enamik kurjategijaid ei tea, kuidas varastatud raha pesta. Võime toime panna kuritegu ja raha hankimise võimalus ei ole sama asi.

    Enamik arvutikuritegusid on väikesed. Nende tekitatud kahju ulatub 10 000 kuni 50 000 dollarini.

    Edukad arvutikuriteod nõuavad tavaliselt suurt hulka pangatehinguid (kuni mitusada). Suured summad saab aga saata vaid mõne tehinguga.

    Enamik ründajaid on ametnikud. Kuigi ka kõrgemad pangatöötajad võivad toime panna kuritegusid ja tekitada pangale palju suuremat kahju, on sellised juhtumid harvad.

    Arvutikuriteod ei ole alati kõrgtehnoloogilised. Piisab andmete võltsimisest, ASOIB keskkonna parameetrite muutmisest jne ning need toimingud on kättesaadavad ka teeninduspersonalile.

    Paljud kurjategijad selgitavad oma tegusid sellega, et nad lihtsalt laenavad pangast raha ja maksavad selle siis tagasi. Reeglina “tagasi” siiski ei esine.

Pankade automatiseeritud infotöötlussüsteemide (ASIPS) kaitse eripära määravad nende lahendatavate ülesannete omadused:

    Reeglina töötlevad ASOIB-d reaalajas suurt voogu pidevalt sissetulevaid päringuid, millest igaüks ei nõua töötlemiseks arvukalt ressursse, kuid neid kõiki koos saab töödelda ainult suure jõudlusega süsteem;

    ASOIB salvestab ja töötleb konfidentsiaalset teavet, mis pole mõeldud üldsusele. Selle võltsimine või lekkimine võib kaasa tuua tõsiseid tagajärgi (pangale või selle klientidele). Seetõttu on ASOIB-d määratud jääma suhteliselt suletuks, töötama spetsiifilise tarkvara kontrolli all ja pöörama suurt tähelepanu oma turvalisuse tagamisele;

    Teine ASOIB omadus on suurenenud nõuded riist- ja tarkvara töökindlusele. Seetõttu kalduvad paljud kaasaegsed infoturbesüsteemid nn tõrketaluva arvutiarhitektuuri poole, mis võimaldab infot pidevalt töödelda ka erinevate rikete ja rikete korral.

ASOIB lahendab kahte tüüpi probleeme:

1. Analüütiline. See tüüp hõlmab planeerimise, konto analüüsi jms ülesandeid. Need ei tööta ja nende lahendamine võib võtta kaua aega ning nende tulemused võivad mõjutada panga poliitikat seoses konkreetse kliendi või projektiga. Seetõttu tuleb alamsüsteem, mille abil analüütilisi probleeme lahendatakse, peamisest infotöötlussüsteemist usaldusväärselt eraldada. Sellise probleemi lahendamiseks pole tavaliselt vaja võimsaid arvutusressursse, tavaliselt piisab 10-20% kogu süsteemi võimsusest. Kuid tulemuste võimaliku väärtuse tõttu peab nende kaitse olema püsiv.

2. Igapäevane. Sellesse tüüpi kuuluvad igapäevaste tegevuste käigus tehtavad ülesanded, eelkõige maksete tegemine ja kontode korrigeerimine. Just nemad määravad kindlaks panga põhisüsteemi suuruse ja võimsuse; nende lahendamine nõuab tavaliselt palju rohkem ressursse kui analüüsiülesanded. Samas on selliste probleemide lahendamisel töödeldava info väärtus ajutine. Järk-järgult muutub ebaoluliseks teabe väärtus, näiteks makse sooritamise kohta. Loomulikult sõltub see paljudest teguritest, nagu: makse summa ja aeg, konto number, lisaomadused jne. Seetõttu piisab tavaliselt maksekaitse tagamisest selle rakendamise hetkel. Samal ajal peab töötlemisprotsessi enda ja lõpptulemuste kaitse olema pidev.

Milliseid meetmeid infotöötlussüsteemide kaitseks eelistavad väliseksperdid? Sellele küsimusele saab vastata Datapro Information Groupi poolt 1994. aastal pankade ja finantsasutuste seas läbi viidud küsitluse tulemuste põhjal:

    Infoturbepoliitika on sõnastatud 82% vastanutest. Võrreldes 1991. aastaga on turvapoliitikat omavate organisatsioonide osakaal kasvanud 13%.

    Veel 12% vastanutest plaanib välja töötada turvapoliitika. Selgelt väljendub järgmine trend: suure personaliarvuga organisatsioonid eelistavad rohkem väljatöötatud turvapoliitikat kui vähese personaliga organisatsioonid. Näiteks selle uuringu järgi on alla 100 töötajaga organisatsioonidest turvapoliitika vaid 66%, samas kui üle 5000 töötajaga organisatsioonide puhul on selliste organisatsioonide osakaal 99%.

    88% organisatsioonidest, millel on infoturbepoliitika, on selle rakendamise eest vastutav spetsiaalne üksus. Nendes organisatsioonides, kus sellist üksust ei ole, on need funktsioonid pandud peamiselt süsteemiadministraatorile (29%), infosüsteemi haldurile (27%) või füüsilisele turvateenistusele (25%). See tähendab, et arvutiturbe eest vastutavad töötajad kiputakse eraldama eriüksusesse.

    Kaitse osas pööratakse erilist tähelepanu arvutivõrkude kaitsele (90%), suurarvutite (82%), õnnetuste ja katastroofide järgsele info taastamisele (73%), arvutiviiruste kaitsele (72%), arvutivõrkude kaitsele. personaalarvutid (69%).

Infokaitse tunnuste kohta välismaistes finantssüsteemides saab teha järgmised järeldused:

    Peamine asi finantsorganisatsioonide kaitsmisel on teabe kiire ja võimalusel täielik taastamine pärast õnnetusi ja tõrkeid. Umbes 60%-l küsitletud finantsasutustest on olemas taastamiskava, mida vaadatakse igal aastal üle 80%-l neist. Põhimõtteliselt saavutatakse teabe kaitsmine hävitamise eest varukoopiate ja nende välise salvestusruumi loomise, katkematute toiteallikate kasutamise ja riistvara "kuuma" reservi korraldamise kaudu.

    Järgmine kõige olulisem probleem finantsorganisatsioonide jaoks on kasutajate juurdepääsu haldamine salvestatud ja töödeldud teabele. Siin kasutatakse laialdaselt erinevaid juurdepääsukontrolli tarkvarasüsteeme, mis mõnikord võivad asendada viirusetõrjetarkvara. Enamasti kasutatakse ostetud juurdepääsukontrolli tarkvara. Pealegi pööravad finantsorganisatsioonid erilist tähelepanu sellisele kasutajahaldusele just võrgus. Sertifitseeritud juurdepääsukontrollid on aga äärmiselt haruldased (3%). Seda võib seletada asjaoluga, et sertifitseeritud tarkvaraga on raske töötada ja selle kasutamine äärmiselt kallis. Seda seetõttu, et sertifitseerimisparameetrite väljatöötamisel võeti arvesse sõjaliste süsteemide nõudeid.

    Erinevused arvutivõrkude kaitse korraldamisel finantsorganisatsioonides hõlmavad standardse (s.t kohandatud, kuid mitte spetsiaalselt konkreetse organisatsiooni jaoks välja töötatud) kommertstarkvara laialdast kasutamist võrgule juurdepääsu kontrollimiseks (82%), ühenduspunktide kaitset võrguga. sissehelistamisliinide kaudu (69%). Tõenäoliselt on selle põhjuseks telekommunikatsiooni suurem levik finantssektorites ja soov kaitsta end väliste sekkumiste eest. Muid kaitsemeetodeid, nagu viirusetõrjevahendite kasutamine, edastatavate andmete ots-otsa ja kanalite krüpteerimine ning sõnumite autentimine, kasutatakse ligikaudu võrdselt ja üldiselt (välja arvatud viirusetõrjevahendid) vähem kui 50% küsitletud organisatsioonidest.

    Finantsorganisatsioonid pööravad suurt tähelepanu nende ruumide füüsilisele kaitsele, kus arvutid asuvad (umbes 40%). See tähendab, et arvuti kaitsmine kõrvaliste isikute juurdepääsu eest on lahendatud mitte ainult tarkvara, vaid ka organisatsiooniliste ja tehniliste (turvalisus, kombinatsioonlukud jne) abil.

    Kohaliku teabe krüptimist kasutab veidi üle 20% finantsorganisatsioonidest. Selle põhjuseks on võtmete levitamise keerukus, ranged nõuded süsteemi kiirusele, samuti vajadus teabe kiireks taastamiseks seadmete rikete ja rikete korral.

    Oluliselt vähem tähelepanu pööratakse finantsorganisatsioonides telefonisideliinide kaitsele (4%) ja Tempesti standardi nõudeid arvestades välja töötatud arvutite kasutamisele (kaitse elektromagnetkiirguse ja häirekanalite kaudu infolekke eest). Valitsusorganisatsioonid pööravad palju rohkem tähelepanu elektromagnetkiirguse ja häirete abil teabe hankimise vastu võitlemise probleemi lahendamisele.

Statistika analüüs võimaldab teha olulise järelduse: finantsorganisatsioonide (sh pankade) kaitse on üles ehitatud mõnevõrra teisiti kui tavalistel äri- ja valitsusorganisatsioonidel. Järelikult ei saa AISISe kaitsmiseks kasutada samu tehnilisi ja organisatsioonilisi lahendusi, mis on välja töötatud standardsituatsioonide jaoks. Sa ei saa arutult kopeerida teiste inimeste süsteeme – need töötati välja erinevate tingimuste jaoks.

Pangad ja kõik nendega
seotud – on alati olnud kõigi sihtmärgiks
omamoodi petturid. Tänapäeval need
elektroonikaga seotud pettused
kuritegevus. Ja mina kui inimene, kes
püüdes neid ära hoida, tahaks natuke
tõsta see probleem esile ja kummutage müüt selle kohta
üksik häkker – tungiv pangandus
süsteemi ja saada sellele TÄIELIK juurdepääs
teabeallikad.

Kõigepealt vaatame
turvaküsimus
arvutuskompleks. Under
mõista süsteemi turvalisust -
võime katsetele vastu seista
tungimine, volitamata juurdepääs, õiguste saamine ja
privileegid, samuti hävitamine või
teabe moonutamine. Meid on rohkem
sisejulgeolekust huvitatud, s.t.
süsteemi toimimise tagamine sisse
normaalne töö ja terviklikkuse tagamine,
turvalisus ja konfidentsiaalsus
teavet.

Nimekirja analüüsimine
olemasolevad ohud – saab kindlaks teha
panganduskaitse põhisuunad
süsteemid:

    1. Füüsiline kaitse. Need.
      seadmete kaitse mehaanilise eest
      kahju, vargus, paigaldus eri
      elektromagnetilised seadmed
      eemaldus
    2. Kaitse NSD eest.
    3. Elektrooniline kaitse
      dokumendivoog. Need. krüpteerimine koos
      kõigi oluliste avalik võti
      elektrooniline kirjavahetus.
    4. Viirusetõrje.
      Kompleksi paigaldamine
      spetsialiseeritud tarkvara
      ennetamise säte
      tungimine arvutivõrku
      pahavara.

Olles aru saanud, mida
sellise ohutuse ja olles otsustanud
liigume edasi selle tagamise küsimuse tähtsuse juurde
elektrooniliste kaitseseadmete valgustamiseks
süsteemid

Kaitsevahendite juurde
hõlmavad tarkvara, riistvara ja
riist- ja tarkvarasüsteemid.

Vastavalt selle omadustele
kõige usaldusväärsem kaitsesüsteem võimaldab
rakendada ainult riist- ja riistvara -
tarkvara. See on tingitud asjaolust
et need süsteemid kõige sagedamini
spetsialiseerunud ehk esinema
teatud funktsioonid, mis on suurepärane
eelis, sest kaitsta või
spetsialiseerunud test
seade on palju lihtsam kui
universaalne. Teine eelis
spetsialiseeritud süsteemid on see
nad võimaldavad füüsiliselt ja loogiliselt
isoleerida plokid kriitilise
teavet. Lisaks programmiliselt -
riistvarasüsteemid pakuvad töökindlust
kaitse muutmise, eemaldamise või varguse eest
teave süsteemi programmeerijate poolt või
kõrgelt kvalifitseeritud personal.
Tavaliselt tarkvaras ja riistvaras
turvalisus
Pakutakse kustutamisfunktsiooni
proovimisel salajane teave
füüsiline tungimine seadmeruumi
osa süsteemist.

Võttes arvesse ka
süsteemi majanduslik tõhusus
turvalisust, kasutatakse sagedamini
ainult tarkvara, sest hind
spetsiaalsed riistvaramoodulid -
üsna kõrge. Kasutades
tarkvara, saate väga
paindlik, pakkudes piisavat taset
kaitse ja samal ajal ebaoluline
tarkvara hoolduskulud
kompleksid (võrreldes riistvaraga,
süsteem. Teine oluline
tarkvara juurutamise eelis
kaitse – on võimalus seda muuta
keerulisemaks või lihtsustamiseks, sisse
sõltuvalt tarnevajadusest
turvalisus.

Tarkvara kasutamine
saab rakendada järgmisi vahendeid
kaitsemeetodid:

    • Krüptograafiline
      muutumine             .
      Need. teabe krüpteerimine. Kõige
      Levinud meetodid on DES
      ja RSA. DES- ANDMETE KRIPTIMISE STANDARD - see standard
      krüptograafiline teisendus
      IBM poolt välja töötatud andmed
      enda vajadustele, kuid hiljem sai
      föderaalne standard USA. DES algoritm
      kasutatakse laialdaselt kogu maailmas,
      on avatud lähtekoodiga ja on avaldatud. Ta
      lihtne mõista, kasutab meetodit
      kaitse, mis on võtmepõhine ja mitte
      oleneb "saladuse" astmest
      algoritm. RSA- praeguseks
      on kõige lootustandvam meetod, sest
      ei nõua võtme ülekandmist
      krüpteerimine teistele kasutajatele.
      Andmete krüptograafiline muutmine
      teostatakse esimese avaliku võtmega,
      ja toimub teabe taastamine
      kasutades teist salavõtit.
      RSA peamine rakendus on hetkel
      elektroonilise dokumendihalduse kaitse. IN
      näitena võime tuua
      SSL (Secure Sockets Layer) protokoll, mis tagab
      turvaline andmeedastus üle võrgu. SSL
      ühendab krüptosüsteemi
      avalik võti ja plokkrüptimine
      andmeid. Ainus puudus
      RSA algoritm on see, et see ei sobi
      lõpp on uuritud ja 100% garantiid pole
      selle töökindlus.
    • Autentimine
      kasutajad             .
      Need. sisestatud andmete õigsuse kontrollimine
      kasutaja registreerimine
      sisselogimisandmed.
      Kasutatakse sundimiseks
      valimisõiguse kohaldamine
      teabeallikad ja õigused
      operatsioonide sooritamine süsteemis.
    • Piiritlemine
      kasutajate õigused ja privileegid
      juurdepääs teabeallikatele             .
    • Kontroll
      teabe terviklikkus, viirusetõrje
      kaitse, audit.             Need.
      tegevuse jälgimine
      süsteemis töötavad kasutajad ja tarkvara
      eelmääratletud registreerimisega
      sündmuste tüübid süsteemilogis
      turvalisus, aga ka täitmine
      teatud vastused või
      hukkamise keeld.
    • Vaatlus
      infoturbesüsteemide toimimine,
      nii tarkvara kui riistvara             .
      Need. kontrollide rakendamine ja
      kaitsemehhanismide juhtimine
      turvasüsteemid.
    • Reserv
      kopeerimine ja hiljem
      andmete taastamine             .
    • Tulemüür (tulemüür)
      - süsteem või süsteemide kombinatsioon,
      luues nende kahe vahele kaitsebarjääri
      või suur hulk võrke ja
      eraellu sissetungi vältimine
      net. Tulemüürid on virtuaalsed
      tõkked pakettide edastamisel ühest
      võrgud teisele.

Peamine puudus
ainult baasil ehitatud kaitsesüsteemid
tarkvarasüsteemid on
nende analüüsimise võimalus NSD ajal. IN
mille tulemusena ei saa välistada
meetodite väljatöötamise võimalus
tarkvaratööriistade kompleksi ületamine
turvalisus või
modifikatsioonid.

Jätkub...