Файл: .Система защиты информации в банковских системах.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 17.06.2023

Просмотров: 145

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Банкам же, которые ранее уже выполнили требования по защите ПДн по старому стандарту, для соответствия новым требованиям нужно скорректировать свои внутренние нормативные документы, провести заново классификацию и переадресацию ИСПДн и, в соответствии с уровнем защищенности, определить для себя новый перечень защитных мероприятий. Хочется отметить, что сейчас у банков появилось больше свободы в выборе средств и методов защиты, однако применение именно сортированных ФСТЭК средств защиты информации по-прежнему является обязательным. Информационная безопасность национальной платежной системы Национальная платежная система (НПС), в виду последних событий, становится все более приоритетным направлением во внутренней политике государства.

Президент России Владимир Путин подписал закон о создании в России национальной системы платежных карт (НСПК) и обеспечении бесперебойности работы международных платежных систем. Оператор НСПК создается в форме ОАО, 100% активов которого принадлежит Банку России. Целью проекта обозначено инфраструктурно и информационно замкнуть процесс осуществления денежных переводов внутри России, закрепить территориально внутри страны операционные центры и платежные клиринговые центры. Фактически, до выхода закона деньги могли появляться из «ниоткуда» и исчезать в «никуда». С выходом закона ситуация меняется, НПС дает возможность отслеживает все денежные операции, в том числе финансирование сомнительных сделок и мошеннические операции, которые могут угрожать безопасности граждан или страны в целом. Кроме того, уход от наличного оборота, по мнению правительства, является еще одним шагом в борьбе со взяточничеством.

Для обеспечения безопасности НПС был выпущен целый рад подзаконных актов, серди которых основополагающее Положение о защите информации в платежной системе» от 13.06.2012 №584. Но в большей мере отвечает выпущенное ответственным департаментом Банком России Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012 N 382-П) С обновлением П-382 тенденции обеспечения защиты теперь смещены в сторону:

  • применением банкоматов и платежных терминалов; применения пластиковых платежных карт;
  • использования сети Интернет (систем дистанционного банковского обслуживания (ДБО) и мобильного банкинга);
  • требований к порядку разработки и распространения специализированного ПО, предназначенного для использования клиентом при переводе денежных средств;
  • расширение требований по повышению осведомленности клиентов о возможных рисках получения несанкционированного доступа к защищаемой информации и рекомендуемых мерах по их снижению;
  • требований о необходимости проведения классификации банкоматов и платежных терминалов, результаты которой должны учитываться при выборе мер защиты;
  • процедур приостановления проведения платежа оператором по переводу денежных средств в случае обнаружения признаков мошеннических действий;
  • предусмотрены процедуры защиты от современных угроз безопасности, таких как: скимминг (путем использования специализированных средств, препятствующих несанкционированному считыванию треков платежных карт;
  • защита сервисов расположенных в сети Интернет от внешних атак (DoS-атак);
  • защита от фишинга (от фальсифицированных лождных ресурсов сети Интернет);
  • требование по применению платежных карт, оснащенных микропроцессором, с 2015 года и запрет выпуска карт, не оснащенных микропроцессором, после 1-го января 2015 года;
  • 29 новых показателей оценки.

Аналогичная ситуация складывается с использованием пластиковых карт. В мировом сообществе признанным стандартом безопасности считается Payment Card Industry Data Security Standard (PCI DSS), который был разработан советом PCI SSC. В него вошли такие карточные брэнды, как Visa, MasterCard, American Express, JCB и Discovery. Стандарт PCI DSS описывает требования к защите данных о держателях карт, сгруппированные в двенадцать тематических разделов.

Основной акцент в стандарте PCI DSS делается на обеспечении безопасности сетевой инфраструктуры и защите хранимых данных о держателях платежных карт, как наиболее уязвимых с точки зрения угроз конфиденциальности местах.

Также следует отметить, что стандарт регламентирует правила безопасной разработки, поддержки и эксплуатации платежных систем, в том числе процедуры их мониторинга. Не менее важную роль стандарт отводит разработке и поддержке базы нормативных документов системы менеджмента информационной безопасности.

Международные платежные системы обязывают организации, на которые распространяются требования стандарта, проходить регулярную проверку соответствия этим требованиям, что рано или поздно может затронуть и НСПК. Однако сертификация российских банков по зарубежному PCI DSS стандарту шла довольно медленно, а отечественного аналога на сегодняшний день нет.

1.6 Блокировка мошеннических сайтов

Банк России и Минкомсвязи работают над изменениями в закон «Об информации, информационных технологиях и о защите информации», которые позволят противодействовать мошенническим ресурсам в сети интернет более эффективно.

Предполагается наделить Банк России правом принимать решение о включении ресурсов в единый реестр запрещенных сайтов. Таким образом, в Рунете появится новый вид запрещенной информации — информация, использующаяся для мошенничеств на финансовом рынке. Например, в ряде случаев финансовые организации, которые лишились лицензии, продолжают через интернет предлагать «заем до зарплаты».

Банк России на основе соглашений с компетентными организациями инициирует блокировку в российском сегменте интернета мошеннических ресурсов, относящихся к сфере финансовых рынков и национальной платежной системе, — подтвердили в пресс-службе ЦБ. — На данный момент снято с делегирования порядка 400 доменов.

Сайты, созданные для мошенничества на финансовом рынке, будут блокироваться. Экспертизу подобных ресурсов будет проводить Центральный банк России. Об этом говорится в Стратегии государственной политики в области защиты прав потребителей.


Банк России разработал проект указания о внесении изменений в Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Согласно документу, операторы по переводу денежных средств будут обязаны использовать ПО, сертифицированное на соответствие требованиям по безопасности информации. То есть, банки и платежные системы смогут использовать только программы, прошедшие проверку на наличие уязвимостей и недекларированных возможностей в соответствии с требованиями Федеральной службы по техническому и экспортному контролю или требованиями к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013.

Анализ уязвимостей в ПО должны проводить организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации. Тестирование на проникновение и анализ уязвимостей должно проводиться ежегодно. Указание вступает в силу с 1 июля 2018 года.

Госстандарт защиты информации для банков ГОСТ Р 57580.1-2017

ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций.

Базовый набор организационных и технических мер» утв. 08.08.2017

Распространяется на Банки, некредитные финансовые организации, других субъектов НПС

Что принципиально нового:

Уровни защиты информации:

Уровень 3 – минимальный (соответствует четвертому УЗ ПДн)

Уровень 2 – стандартный (соответствует второму и третьему УЗ ПДн)

Уровень 1 – усиленный (соответствует первому УЗ ПДн)

Уровень защиты информации устанавливается для конкретного контура безопасности (информационная система, реализующая бизнес-процессы единой степени критичности, для которых применяется единый режим защиты информации)

Пример: Платежные и информационные технологические процессы могут составлять разные контуры безопасности

Формируется один или несколько контуров безопасности

Уровень защиты для контура безопасности устанавливается нормативными актами Банка России на основе:

  1. Вида деятельности, состава предоставляемых услуг, бизнес-процессов в рамках контура безопасности
  2. Объема финансовых операций
  3. Размера организации
  4. Значимости для финансового рынка и НПС

В числе мер, способствующих снижению рисков утечки информации, Банк России предлагает финансовым организациям установить и документировать классификацию обрабатываемой информации.


Рекомендуется выделить как минимум два класса – «информация конфиденциального характера» и «открытая информация». Классификацию рекомендуется проводить на основе оценивания степени тяжести последствий для организации от возможных утечек информации конфиденциального характера, говорится в документе.

Организациям также рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов.

В этом пункте подробно рассматривается состав правил идентификации и учета информационных активов и объектов среды информационных активов, типы информационных активов и объектов, подлежащих идентификации и учету, набор учетных данных, которые необходимо хранить и др.

Для учета и идентификации информационных активов и средств вычислительной техники рекомендуется использовать средства автоматизации.

Банк России рекомендует определить категории возможных внутренних нарушителей и потенциальных каналов утечки информации, состав процессов их мониторинга и контроля, обеспечить реализацию процессов системы менеджмента информационной безопасности и др.

Один из подпунктов рекомендаций, достаточно обширный, охватывает автоматизацию процессов мониторинга и контроля потенциальных каналов утечки информации организации.

Советов по выбору конкретных технических решений здесь не содержится, за исключением пункта о централизованном управлении и мониторинге использования мобильных устройств сотрудниками организации.

Глава 2 Реализация средств защиты информации в автоматизированных банковских системах

2.1 Физические средства защиты информации

Физические средства защиты направлены на создание физических препятствий на пути хищения и порчи информации. К ним относятся:

физическая изоляция территории (заборы, решетки);

установка кодовых замков и переговорных устройств;

установка систем по опознанию личности, автоматически управляющих доступом на территорию;


установка систем теленаблюдения;

охрана объектов и проверка документов;

установка специальных устройств, препятствующих выносу техники;

установка сейфов.

Рис.1. Расположение камер охранного видеонаблюдения.

2.2 Технические средства защиты информации

Технические средства реализуются в виде электрических, электромеханических и электронных устройств, реализующих механизмы защиты (идентификацию пользователей, разграничение доступа к ресурсам, криптографическое закрытие информации и т.д.).

Все технические средства делятся на аппаратные и физические [4].

Под аппаратными техническими средствами принято понимать устройства, встраиваемые в компьютеры или периферийные устройства. Физические реализуются в виде автономных устройств. Самая распространенная функция технических средств защиты — шифрование информации. Сообщение зашифровывается с помощью алгоритма шифрования — ключа, который является частью аппаратуры или программой. Защиту обеспечивает секретность ключа, восстановив ключ, можно восстановить информацию. Более надежными являются аппаратные и программно-аппаратные средства защиты, так как защищен ключ

Программные средства защиты представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации, и подразделяются на несколько видов:

  • программы идентификации пользователя, например, идентификация пользователя с помощью пароля;
  • программы контроля и разграничения доступа производят проверку полномочий пользователей на доступ к ресурсам сети, контроль в точках входа — промежуточных и конечной;
  • программы криптографического закрытия предназначены для шифрования (дешифрования) информации;
  • механизмы электронной подписи используются для подписи электронных документов: приказов, платежных поручений, контрактов и других распорядительных и финансовых документов;
  • заменяют традиционные печать и подпись на бумажном документе;
  • дают возможность доказательства факта того, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе;
  • электронная подпись представляет собой файл, который хранится на дискете;
  • программы резервного копирования и восстановления;
  • механизмы управления маршрутизацией, арбитража осуществляют выбор маршрутов движения информации по компьютерной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным физически ненадежным каналам; вся информация, передаваемая между объектами,
  • проходит через арбитра, который подтверждает характеристики потока;
  • программы контроля целостности программного обеспечения и программы защиты от вирусов — применение «иммуностойких» программ, программ-анализаторов, осуществляющих контроль возникновения отклонений в деятельности прикладных программ, входной контроль новых программ перед их использованием;
  • программы, тестирующие механизмы защиты;
  • вспомогательные программы, например, ведение регистрационных журналов, которые фиксируют все действия всех пользователей при работе в автоматизированной системе (осуществляют регистрацию входа в систему: успешный — неуспешный, регистрацию выхода, учет выдачи печатных документов, отправляемых документов, вызываемых функций, составляемых форм отчетности и т.д.).