Вперед: 2.3 Проблемы криптографической защиты платежной системы
Вверх: 2. Особенности применения криптографии в банковском деле
Назад: 2.1 Характеристика платежной системы России
Содержание
Предметный указатель
2.2 Угрозы безопасности информации в платежной
системе
Можно выделить следующие субъекты
платежной системы:
- государство (в лице его органов и организаций);
- коммерческие и общественные организации и предприятия (юридических лиц);
- отдельных граждан (физических лиц).
В процессе своей деятельности субъекты вступают друг
с другом в отношения, связанные с получением, хранением,
обработкой,распространением и использованием информации,
т. е. информационные отношения.
Субъекты по отношению к информации могут выступать в качестве (возможно одновременно):
- источников (поставщиков) информации;
- пользователей (потребителей) информации;
- собственников информации;
- владельцев систем передачи, сбора и обработки информации.
Субъекты информационных отношений (СИО) являются
участниками информационных процессов при соблюдении их
интересов, которые могут заключаться в:
- обеспечении своевременного доступа к необходимой им информации;
- обеспечении конфиденциальности всей информации или ее части;
- обеспечении достоверности (полноты, точности, адекватности,
целостности) информации;
- обеспечении защиты от дезинформации;
- обеспечении защиты информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и
т. п.);
- разграничении ответственности за нарушения законных прав
(интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
- обеспечении возможности осуществления контроля и управления
процессами обработки и передачи информации.
Таким образом, в целом субъекты информационных
отношений заинтересованы в обеспечении своей
информационной безопасности причем не любыми средствами, а
в зависимости от величины ущерба, в общем случае
потенциального, который им может быть нанесен.
Для целей анализа необходимо множество СИО с законными
интересами дополнить таким субъектом информационных отношений,
как "злоумышленник".
Для обеспечения информационной безопасности субъектов
необходимо постоянно поддерживать следующие свойства
информации и систем ее обработки:
- доступность информации, то есть свойство средств и
технологии обработки информации, заключающееся в их
способности обеспечивать своевременный беспрепятственный
доступ субъектов к интересующей их информации и готовность
соответствующих автоматизированных служб к обслуживанию
поступающих от субъектов запросов;
- целостность информации, то есть свойство информации,
заключающееся в ее неизменности по отношению к некоторому
фиксированному ее состоянию (полнота, точность).
- конфиденциальность -- свойство информации,
указывающее на необходимость введения ограничений на круг
субъектов, имеющих доступ к данной информации, и
обеспечиваемое способностью средств и технологий обработки
сохранять указанную информацию в тайне от субъектов, не
обладающих полномочиями на доступ к ней.
Необходимо при этом иметь в виду, что ущерб субъектам
информационных отношений может быть нанесен опосредованно,
через определенную информацию и ее носители, в том числе
автоматизированные системы обработки. Это требует также
обеспечения безопасности систем обработки и передачи
информации, хотя в конечном счете цель обеспечения
информационной безопасности заключается в обеспечении
законных интересов субъектов информационных отношений.
Рассмотрим более детально суть интересов СИО, которые в
общем случае не всегда являются непротиворечивыми, что
собственно и приводит к конфликтам в платежной системе и правонарушениям.
Плательщик заинтересован в:
- корректном изменении его расчетного счета в обслуживающем банке;
- своевременном осуществлении платежа;
- неразглашении информации о факте проведения и сумме
платежа, о получателе средств, остатке средств на счете.
Банк плательщика заинтересован в:
Государство заинтересовано в:
- корректном проведении расчетов между банками (в
пределах остатков на коррсчетах);
- достоверности проводимых расчетов (на предмет
неконтролируемой незаконной эмиссии безналичных денег);
- своевременном осуществлении расчетов между плательщиком
и получателем.
Банк получателя платежа заинтересован в:
- корректном изменении его корреспондентского счета в
РКЦ;
- своевременном осуществлении платежа;
- неразглашении информации об объемах и адресатах
операций клиентов банка;
- разграничении ответственности за возможные нарушения с
другими участниками процесса расчетов.
Получатель платежа заинтересован в:
- корректном изменении его расчетного счета в
обслуживающем его банке;
- своевременном осуществлении платежа;
- неразглашении информации о объемах операций и
корреспондентах.
Таким образом, основные интересы СИО заключаются в:
- корректном изменении расчетного счета;
- своевременном осуществлении платежа;
- неразглашении информации о объемах операций и
корреспондентах.
Действия злоумышленника направлены на достижение
собственных целей, что приводит к нанесению ущерба СИО.
Мировой опыт и анализ случаев компьютерных преступлений в
банковской сфере показывает, что они составляют:
1)
воровство денег -- 36%;
2)
воровство услуг -- 34%;
3)
воровство информации -- 12%;
4)
подделка данных -- 8%;
5)
вымогательство -- 4%;
6)
нанесение ущерба программам -- 2%;
7)
нанесение ущерба оборудованию -- 2%;
8)
помехи нормальной работе -- 2%.
При этом размер материального ущерба от разрушения
системы/данных в 9 раз превышает ущерб от кражи денег и в
1,8 раза -- от кражи данных и программ. Компьютерные
преступления -- это один из видов реализации угроз
безопасности информации. В целом угрозы безопасности
информации можно разделить по источнику и характеру
проявления на классы, показанные на
рис. 1.
Рис. 1.
Классификация угроз безопасности
информации
 |
Рассмотрим обобщенный перечень возможных угроз, характерный
для любой автоматизированной системы (АС). В соответствии
с тремя видами источников угроз возможные угрозы делятся на
три группы (табл. 1).
Таблица 1
 |
Угрозы первой группы являются
независимыми от людей. Угрозы подгруппы 1.1 связаны с
прямым физическим воздействием на элементы АС (ураганы,
наводнения, пожары и т. п.) и ведут к нарушению работы АС
и физическому уничтожению носителей информации, средств
обработки и передачи данных, обслуживающего персонала.
Угрозы подгруппы 1.2 связаны с электромагнитным воздействием
на магнитные носители информации, электронные средства
обработки и передачи данных, обслуживающий персонал и ведут
к отказам и сбоям аппаратуры, искажению или уничтожению
информации, ошибкам персонала.
Угрозы подгруппы 1.3 аналогичны по последствиям угрозам
подгруппы 1.2 и, кроме того, ведут к заболеваниям
персонала.
Угрозы второй группы связаны с надежностью технических
средств систем обеспечения работы АС. Угрозы подгруппы 2.1
связаны с внезапным временным прекращением работы АС и ведут к
потерям информации и управления объектами в АС.
Угрозы подгруппы 2.2 связаны с надежностью работы аппаратно-программных средств и ведут к искажению и потерям информации, нарушениям в управлении объектами.
Угрозы подгруппы 2.3 связаны с наличием электромагнитных
излучений, за счет которых осуществляется несанкционированный
перенос информации за пределы АС, что приводит к утечке информации.
Угрозы подгруппы 2.4 связаны с утечкой информации через
легальные каналы связи за счет имеющейся возможности снятия ее
специальными датчиками или посредством прямого подключения.
Угрозы третьей группы связаны с наличием людей как в АС,
так и вне ее.
Угрозы подгруппы 3.1 связаны со случайными непреднамеренными
действиями пользователей, ошибками операторов, программистов,
управленческого персонала, сотрудников архивной службы
и службы безопасности и ведут к искажению или уничтожению информации,
нарушению выполнения АС своих функций, ошибкам в работе программ и
средствах управления безопасностью АС.
Угрозы подгруппы 3.2 связаны с преднамеренными действиями
людей, направленными на изменение правильной работы АС,
например, для получения личных привилегий и доходов. Данная
группа угроз является наиболее опасной и распространенной.
Особо отметим такой вид угроз как вредоносное программное
обеспечение (вирусы, троянские кони, логические бомбы и
т. д.). Данный вид угроз может относиться к группам 3.1 и
3.2, поскольку такого типа программы могут как специально
разрабатываться в самых различных целях, так и вноситься
пользователем или персоналом АС непреднамеренно.
Исходя из интересов СИО и структуры АС, перечислим
наиболее характерные угрозы информации в платежной системе:
- несанкционированный доступ посторонних лиц, не
принадлежащих к числу банковских служащих, и ознакомление с
хранимой конфиденциальной информацией;
- ознакомление банковских служащих с информацией, к
которой они не должны иметь доступа;
- несанкционированное копирование программ и данных;
- перехват и последующее раскрытие конфиденциальной
информации, передаваемой по каналам связи;
- кража магнитных носителей, содержащих конфиденциальную
информацию;
- кража распечатанных банковских документов;
- случайное или умышленное уничтожение информации;
- несанкционированная модификация банковскими служащими
финансовых документов, отчетности и баз данных;
- фальсификация сообщений, передаваемых по каналам
связи, в том числе и навязывание ранее переданного сообщения;
- отказ от авторства сообщения, переданного по каналам
связи;
- отказ от факта получения информации;
- ошибки в работе обслуживающего персонала;
- разрушение файловой структуры из-за некорректной
работы программ или аппаратных средств;
- разрушение информации, вызванное вирусными
воздействиями;
- разрушение архивной банковской информации, хранящейся
на магнитных носителях;
- кража оборудования;
- ошибки в программном обеспечении;
- сбои оборудования, в том числе и за счет отключения
электропитания и других факторов, препятствующих работе
оборудования.
Оценка вероятности появления данных угроз и ожидаемых
размеров потерь зависит от многих конкретных факторов в
конкретном банке и является трудной задачей.
Вперед: 2.3 Проблемы криптографической защиты платежной системы
Вверх: 2. Особенности применения криптографии в банковском деле
Назад: 2.1 Характеристика платежной системы России
Содержание
Предметный указатель
|
