Файл: Система защиты информации в банковских системах (Безопасность персональных платежей физических лиц).pdf

Существует также несколько других функций, реализующих следующие принципы :

1. Процесс мониторинга. Метод мониторинга процесса заключается в создании специальной системы расширений файлов, которая должна постоянно выполнять определенные проверки. Конечно, система стала уязвимой только внешне, если она предоставляет возможность использовать источник данных извне. Средства создания такого доступа (серверный процесс) обычно представляют собой достаточный объем априорной климатической информации о поведении клиентских процессов. К сожалению, в большинстве случаев эта информация просто игнорируется. После аутентификации на внешнем процессе в системе, считается, что она авторизована в течение всего своего жизненного цикла, чтобы использовать некоторую информацию, ресурсы без дополнительных изменений.^[19]

Хотя в большинстве случаев невозможно определить все правила поведения внешнего процесса, вполне реально определить их через отрицание или, другими словами, показать, что внешний процесс не может быть выполнен ни при каких обстоятельствах. На основе этих тестов можно отслеживать опасные или подозрительные события.

2. Что ты имеешь в виду? Дублирование технологии вещания. Находится под угрозой взлома и компрометации информационных технологий, а также из-за ее внутренних недостатков и внешнего эффекта. Защита такая ситуация возникает при параллельном применении нескольких других технологий передачи. Конечно, перекрытие приводит к резкому увеличению сетевого трафика. Однако, этот метод может быть эффективным, если стоимость риска возможных убытков превышает в два раза выше.

3. Децентрализация. Во многих случаях использование стандартизированной технологии обмена информацией не вызывало стремления к стандартизации, а вызывало недостаточную вычислительную мощность систем, обеспечивающих коммуникационные процессы.

3.2 Безопасность электронных платежей

Сегодня во многих банках существуют определенные каналы удаленных платежных операций. Вы можете отправить "платеж" непосредственно в офис, используя модемное соединение или выделенную линию связи. Стало реальностью осуществление банковских операций через Интернет-достаточно иметь компьютер с доступом к глобальной сети и ключ электронной цифровой подписи (ЭЦП), который зарегистрирован в банке.

Банк дистанционного обслуживания может использоваться для повышения эффективности частных предприятий без особых усилий со стороны его владельцев. Это обеспечивает: экономию времени (нет необходимости приходить в банк лично, оплата может быть произведена в любое время), удобство (все операции выполняются на персональном компьютере в обычной бизнес-среде); быструю обработку платежей (банк, оператор не печатает информацию на бумажном оригинале, что дает возможность исключить ошибки ввода и сократить время обработки платежных документов); контроль состояния документа при его обработке; получить информацию о движении средств по счетам.^[20]

Однако, несмотря на очевидные преимущества электронных платежей, в России они пока не очень популярны, поскольку клиенты банка не уверены в их безопасности. В первую очередь это связано с распространенным мнением о том, что информационные сети могут легко "взломать" какой-то хакер. Этот миф коренится в человеческом сознании, и регулярно публикуются в средствах массовой информации новости о нападениях на следующий веб-сайт, чтобы еще больше укрепить это заявление. Но времена меняются, и электронные средства связи, рано или поздно заменят личное присутствие плательщика, желающего совершить безналичный банковский перевод с одного счета на другой.

Я думаю, что безопасность электронного банкинга может быть обеспечена сегодня. Это гарантируется современной криптографией, которая используется для защиты электронных платежных документов. Прежде всего, именно ЭЦП соответствует ГОСТ 34.10-94. С 1995 года успешно используется в Центральном Банке России. Изначально были введены межрегиональные электронные платежи всего по нескольким направлениям. Сейчас она охватывает все регионы Российской Федерации, и без нее практически невозможно представить функционирование Центрального Банка России. Так стоит ли сомневаться в надежности цифровой подписи, если использование проверенной временем и уже в той или иной мере затрагивает каждого гражданина нашей страны?

Цифровая подпись является гарантией безопасности. Согласно типовому договору между банком и клиентом, на основании банковского счета клиента работает достаточное количество уполномоченных лиц, зарегистрированных в электронном документе. Федеральным законом 10.01.02 N 1-ФЗ" Об электронной цифровой подписи " определено, что ЭОД формируется и проверяется сертифицированным программным обеспечением ФАПСИ. ЭЦП-сертификация является гарантией того, что данная программа будет выполнять операции шифрования по стандартам ГОСТ и не будет выполнять деструктивных действий на компьютере пользователя.

Чтобы поместить электронный документ, ЭЦП, у вас есть ключ, который можно сохранить на любой ключевой носитель. Современные носители ключей ("e-Token"," USB-drive"," Touch-Memory") похожи на брелки по форме, и на них можно носить кучу обычных ключей. Дискеты также могут использоваться в качестве носителя ключевой информации.

Каждый ключ ЭЦП работает с аналогом собственноручной подписи уполномоченного лица. Если в организации бумажные "векселя" обычно подписываются директором и главным бухгалтером, то электронную систему лучше всего держать в одном порядке и давать уполномоченным лицам разные ключи к действию. Однако можно воспользоваться одной из ЭЦП-этот факт необходимо учитывать в договоре между банком и клиентом.

ЭЦП-ключ состоит из двух частей - закрытой и открытой. Публичная часть (публичный ключ) после генерации, владелец которой передается в сертификационные органы, роль которых обычно была передана банку. Открытый ключ, информация о его владельце, назначение, ключ и другая информация подписываются ЭЦП центра выдачи. Таким образом, формируется сертификат ЭЦП, который регистрируется в электронной платежной системе Банка.^[21]

Закрытая часть ЭЦП-ключ (секретный ключ) ни в коем случае не должен передаваться владельцу ключа другому лицу. Если закрытый ключ передается, даже на короткое время, другому лицу или оставлен где-то без присмотра, ключ считается "скомпрометированным" (т. е. возможность копирования или незаконного использования ключа остается спокойной). Иными словами, в этом случае лицо, не являющееся владельцем ключа, получает возможность подписать электронный документ несанкционированного управления организацией, который Банк принимает к исполнению, и имеет право, поскольку при проверке ЭЦП показать его подлинность. Вся ответственность в этом случае лежит исключительно на владельце ключа. Действия владельца ЭЦП в данной ситуации должны быть такими же, как и при утере обычной пластиковой карты: этот человек должен сообщить банку о "компрометации" (- утере) ключа ЭЦП. Затем банк блокирует показания этой ЭЦП своей платежной системы, и злоумышленник не может использовать его незаконную покупку.

Вы также можете предотвратить незаконное использование секретного ключа с помощью пароля, который должен перекрывать как ключ, так и конкретный носитель ключа. Это поможет минимизировать ущерб в случае утери, так как без пароля ключ станет недействительным и у владельца будет достаточно времени, чтобы уведомить банк о" компрометации " его ЭЦП.

Рассмотрим, как клиент может воспользоваться услугами электронных платежей, при условии, что Банк интегрирован в реализации электронных банковских услуг банков. Если клиент является частным предпринимателем или руководит небольшой коммерческой компанией, и имеет доступ в интернет, то достаточно выбрать систему защиты шифрования (ЭЦП и шифрование), которую он хочет использовать. Клиент может установить аттестованное програмное обеспечение" CryptoPro CSP " или граница-встроенную систему Microsoft Windows CSP основания Майкрософт.^[22]

Если клиентом является крупная компания с большим финансовым оборотом, то можно рекомендовать вторую подсистему банков - "Windows клиент". Это позволяет клиентам самостоятельно вести базу электронных документов и иметь возможность готовить платежные поручения на своем компьютере без сеанса связи с банком. Когда все необходимые документы созданы, клиент подключается к банку по телефону или собственной линии обмена информацией.

Второй вид предоставляемой услуги Банк информирует клиента о состоянии Его банковских счетов, курсах валют и другой справочной информации посредством голосовой связи, факса или экрана мобильного телефона.

Удобный способ использования электронных платежей в виде платежных документов уполномоченным сотрудникам компании, которые находятся на значительном расстоянии друг от друга. Например, главный бухгалтер подготовил и подписал электронный платежный документ. Директор, находящийся в настоящее время в командировке в другом городе или в другой стране, может просмотреть этот документ, подписать его и отправить в банк. Все эти действия могут быть выполнены в подсистеме "Интернет-Клиент" бухгалтером и директором компании, подключенным через Интернет. Шифрование данных и аутентификация пользователя осуществляется по одному из стандартных протоколов-SSL или TLS-протоколу.^[23]

Таким образом, бизнес электронных платежей предлагает значительные преимущества перед традиционным сервисом. Безопасность, она обеспечивается ЭЦП стандарта (ГОСТ 34.10-94), с одной стороны, а заказчик несет ответственность за хранение подписывающих Ключей - с другой. Рекомендации по использованию и хранению ключей ЭЦП клиент всегда может получить в банке, и если он их выполнит, то надежность вкладов гарантирована.

3.3 Безопасность персональных платежей физических лиц

Большинство систем безопасности во избежание потери персональных данных физических лиц требуют от пользователя подтверждения того, что он является тем, за кого себя выдает. Идентификация пользователя может осуществляться на основании того, что:

- он знает некоторую информацию (секретный код, пароль);

- он имеет специфическую цель (карточку, электронный ключ, знак внимания);

- это набор индивидуальных характеристик (отпечатки пальцев, форма руки, голос, тон, рисунок сетчатки и т. д.));

- он знает, где находится специализированный ключ или как подключиться.

Первый способ требует номера определенной кодовой последовательности на PIN-коде клавиатуры (персональный идентификационный номер). Как правило, это серия чисел, которая состоит из 4-8 цифр, которые пользователь должен ввести во время события.^[24]

Во втором способе пользователю показывают некоторые идентификационные элементы-код не считывается-копируют электронное устройство, карту или жетон.

Работает третий путь к индивидуальным особенностям и физическим качествам человека. Весь биометрический продукт задействован в довольно большой базе данных, где хранится соответствующее изображение или другая информация, которая используется для распознавания.

Четвертый способ, специальный принцип включения или работы устройства, обеспечивает его работу (такой подход используется редко).

Банковское дело, общая протяженность, которых мы отнесли ко второй группе: объект (карта, электронный ключ). Естественно, такое ключевое событие вкупе со средствами и методами идентификации, которые мы отнесли к первой группе: информация (секретный код, пароль).

Возьмем более точные обозначения банка .

Пластиковая карта.

В настоящее время в различных странах мира выпущено более миллиарда карт, Самые известные:

- кредитные карты Visa (более 350 млн. карт) и MasterCard (200 млн карт);

- международная гарантия чеков и Eurocheque Posteheque;

- платежные карты, путешествия и развлечения, American Express (60 миллионов карт) и Diners Club.

Магнитная карта (см. Приложение 2)

Наиболее известный и давно используемый банк - чем номинация пластиковой карты с магнитной полосой (многие системы позволяют использовать обычные кредитные карты). Для считывания необходимо провести а-карту (магнитную полосу) через слот считывателя (ридер). Обычно показания прибора производятся в виде внешнего устройства и подключаются через универсальный последовательный порт компьютера. Читатели совмещенные с кнопочной панелью также имеющиеся. Однако такие карты можно отличить по преимуществам и недостаткам их использования.