Платіжні системи - Вовчак О. Д. - Тема 4. ЗАХОДИ ЗАХИСТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ПЛАТІЖНИХ СИСТЕМ

4.1. Основні поняття та етапи створення системи захисту

Інформаційна безпека означає можливість протистояти спробам нанесення збитків власникам або користувачам платіжної системи при різних навмисних або ненавмисних впливах на неї. Система захисту інформації повинна забезпечувати безперервний захист інформації щодо переказу коштів на всіх етапах її формування, обробки, передачі та зберігання. Електронні документи, що містять інформацію, яка належить до банківської таємниці або є конфіденційною, повинні бути зашифрованими під час передавання їх за допомогою телекомунікаційних каналів зв'язку.

У процесі вивчення теми варто засвоїти, що захист інформації - сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи автоматизованої системи та осіб, які користуються інформацією. Об'єктами захисту е інформація, що обробляється в автоматизованій системі, права власників автоматизованої системи, права користувача.

Безпеку платіжних систем можна розглядати як таку, що складається зі зовнішньої та внутрішньої.

Зовнішня безпека включає:

- захист від втрати або модифікації системою інформації при стихійних лихах (пожежах, землетрусах та ін.);

- захист системи від проникнення зловмисників ззовні з метою викрадення, отримання доступу до інформації або виведення системи з ладу.

Мета внутрішньої безпеки - забезпечення надійної та коректної роботи, цілісності інформації і компонентів (ресурсів) системи. Це передбачає створення надійних і зручних механізмів регламентування діяльності всіх користувачів та обслуговуючого персоналу, підтримання дисципліни доступу до ресурсів системи.

Можна виділити два підходи до гарантування безпеки інформаційних систем: фрагментарний та комплексний.

Фрагментарний підхід орієнтується на протидію чітко визначеним загрозам при певних умовах використання системи. Головною позитивною рисою такого підходу є міцний захист щодо конкретної загрози, але основний недолік - локальність дії та відсутність єдиного захищеного середовища для обробки інформації. Тому такий підхід неприйнятний для захисту платіжних систем.

Для створення захисту платіжних систем треба використовувати комплексний підхід, а саме: створення захищеного середовища для обробки платіжної та службової інформації в системі, яке об'єднує різноманітні (правові, організаційні, програмно-технічні) засоби для протидії будь-яким загрозам.

Варто звернути увагу на те, що суб'єктами відносин, пов'язаних з обробкою інформації в автоматизованій системі, є:

- власники інформації чи уповноважені ними особи;

- власники автоматизованої системи чи уповноважені ними особи;

- користувачі інформації;

- користувачі автоматизованої системи.

Створення надійної системи захисту можна розділити на чотири основних етапи:

1) аналіз можливих загроз;

2) розробка (планування) системи захисту;

3) реалізація системи захисту;

4) супроводження системи захисту під час експлуатації платіжної системи.

Аналіз можливих загроз - це вибір із усієї безлічі можливих впливів на систему лише таких, які реально можуть виникати і наносити значні збитки.

Усі загрози можна розподілити" згідно з їхніми характеристиками, на класи:

1. За цілями реалізації загрози:

- порушення конфіденційності інформації;

- порушення цілісності (повна або часткова компрометація інформації; дезінформація; несанкціоноване знищення або модифікація інформації чи програмного забезпечення);

- порушення (часткове або повне) працездатності системи.

2. За принципом впливу на систему:

- за допомогою доступу до об'єктів системи (файлів, даних, каналів зв'язку);

- за допомогою прихованих каналів (у тому числі через роботу з пам'яттю).

3. За характером впливу на систему:

- активний вплив - виконання користувачами деяких дій поза межами своїх обов'язків, які порушують систему захисту та змінюють стан системи;

- пасивний вплив - спостереження побічних ефектів роботи системи та їх аналіз, які не змінюють стан системи, але дають можливість отримання конфіденційної інформації.

4. За причинами появи помилок у системі захисту:

- некоректність системи захисту, що призведе до дій, які можна розглядати як несанкціоновані, але система захисту не розрахована на їх припинення або недопущення;

- помилки адміністрування системи;

- помилки в алгоритмах програм, зв'язках між ними тощо, які виникають на етапі проектування;

- помилки реалізації алгоритмів, тобто помилки програмування, які виникають на етапі реалізації або тестування програмного забезпечення.

5. За способом впливу на об'єкт атаки:

- безпосередній вплив на об'єкт атаки (в тому числі за допомогою використання привілеїв);

- вплив на систему привілеїв (у тому числі захоплення привілеїв) і доступ до системи, який система вважатиме санкціонованим;

- опосередкований вплив через інших користувачів.

6. За способом впливу на систему:

- під час роботи в інтерактивному режимі;

- під час роботи у пакетному режимі.

7. За об'єктом атаки:

- на систему загалом;

- на об'єкти системи з порушенням конфіденційності, цілісності або функціонування об'єктів системи (дані, програми, устаткування системи, канали передачі даних);

- на суб'єкти системи (процеси, користувачів);

- на канали передачі даних, причому як на пакети даних, що передаються, так і на самі канали передачі даних.

8. За засобами атаки, що використовуються:

- за допомогою штатного програмного забезпечення;

- за допомогою спеціально розробленого програмного забезпечення.

9. За станом об'єкта атаки:

- під час зберігання об'єкта (на диску, в оперативній пам'яті тощо) у пасивному стані;

- під час передачі;

- під час обробки, тобто об'єктом атаки є сам процес користувача або системи.

Найбільш розповсюдженою загрозою для безпеки є несанкціонований доступ (НСД), тобто отримання користувачем доступу до об'єкта, на який він не має дозволу. Для реалізації НСД використовуються два способи: подолання системи захисту або спостереження за процесами та аналіз інформації.

Незаконне використання привілеїв - теж загроза безпеці, яка досить часто трапляється.

Інша загроза безпеки має назву "маскарад", тобто виконання будь-яких дій одним користувачем від імені іншого користувача, якому ці дії дозволені. Досить суворою загрозою є вірусні атаки будь-якого типу.

На етапі Розробки (планування) система захисту формується у вигляді єдиної сукупності заходів різного плану для протидії можливим загрозам. Вони включають:

- Правові заходи: закони, укази та інші нормативні документи, які регламентують правила роботи з платіжною інформацією, що обробляється, накопичується та зберігається в системі, та відповідальність за порушення цих правил;

- Морально-етичні заходи: норми поведінки учасників розрахунків та обслуговуючого персоналу;

- Адміністративні заходи: заходи організаційного характеру, які регламентують процес функціонування системи обробки платіжної інформації, використання її ресурсів, діяльність персоналу тощо;

- Фізичні заходи захисту, які включають охорону приміщень, техніки та персоналу платіжної системи;

- Технічні (апаратно-програмні та програмні) засоби захисту, які самостійно або в комплексі з іншими засобами забезпечують функції захисту: ідентифікацію й автентифікацію користувачів, розподіл доступу, реєстрацію основних подій роботи системи, криптографічні функції та ін.

На етапі Реалізації системи захисту виготовляються, обладнуються, встановлюються та настроюються засоби захисту, які були заплановані на попередньому етапі.

Важливо знати, що захист інформації забезпечується суб'єктами переказу коштів шляхом обов'язкового впровадження та використання відповідної системи захисту, що складається з:

- законодавчих актів України та інших нормативно-правових актів, а також внутрішніх нормативних актів суб'єктів переказу, що регулюють порядок доступу та роботи з відповідною інформацією, а також відповідальність за порушення цих правил;

- заходів охорони приміщень, технічного обладнання відповідної платіжної системи та персоналу суб'єкта переказу;

- технологічних та програмно-апаратних засобів криптографічного захисту інформації, що обробляється в платіжній системі.

Система захисту інформації повинна забезпечувати:

1) цілісність інформації, що передається в платіжній системі, та компонентів платіжної системи;

2) конфіденційність інформації під час її обробки, передавання та зберігання в платіжній системі;

3) неможливість відмови ініціатора від факту передавання та отримувачем від факту прийняття документа на переказ, документа за операціями зі застосуванням засобів ідентифікації, документа на відкликання;

4) забезпечення постійного та безперешкодного доступу до компонентів платіжної системи особам, які мають на це право або повноваження, визначені законодавством України, а також встановлені договором.

Необхідно акцентувати увагу на тому, що розробка заходів охорони, технологічних та програмно-апаратних засобів криптографічного захисту здійснюється платіжною організацією відповідної платіжної системи, її членами або іншою установою на їх замовлення.



Схожі статті




Платіжні системи - Вовчак О. Д. - Тема 4. ЗАХОДИ ЗАХИСТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ПЛАТІЖНИХ СИСТЕМ

Предыдущая | Следующая