Документ взят из кэша поисковой машины. Адрес оригинального документа : http://geo.web.ru/db/msg.html?mid=1161287&uri=node9.html
Дата изменения: Unknown
Дата индексирования: Wed Apr 13 02:01:56 2016
Кодировка: koi8-r
М. И. Анохин, Н. П. Варновский, В. М. Сидельников, В. В. Ященко "КРИПТОГРАФИЯ В БАНКОВСКОМ ДЕЛЕ" - Все о Геологии (geo.web.ru)
Все о геологии :: на главную страницу! Геовикипедия 
wiki.web.ru 
Поиск  
  Rambler's Top100 Service
 Главная страница  Конференции: Календарь / Материалы  Каталог ссылок    Словарь       Форумы        В помощь студенту     Последние поступления
   Геология | Книги
 Обсудить в форуме  Добавить новое сообщение
Вперед Вверх Назад Содержание Предметный указатель
Вперед: 2.3 Проблемы криптографической защиты платежной системы Вверх: 2. Особенности применения криптографии в банковском деле Назад: 2.1 Характеристика платежной системы России   Содержание   Предметный указатель


2.2 Угрозы безопасности информации в платежной системе

Можно выделить следующие субъекты платежной системы:

  • государство (в лице его органов и организаций);

  • коммерческие и общественные организации и предприятия (юридических лиц);

  • отдельных граждан (физических лиц).

В процессе своей деятельности субъекты вступают друг с другом в отношения, связанные с получением, хранением, обработкой,распространением и использованием информации, т. е. информационные отношения.

Субъекты по отношению к информации могут выступать в качестве (возможно одновременно):

  • источников (поставщиков) информации;

  • пользователей (потребителей) информации;

  • собственников информации;

  • владельцев систем передачи, сбора и обработки информации.

Субъекты информационных отношений (СИО) являются участниками информационных процессов при соблюдении их интересов, которые могут заключаться в:

  • обеспечении своевременного доступа к необходимой им информации;

  • обеспечении конфиденциальности всей информации или ее части;

  • обеспечении достоверности (полноты, точности, адекватности, целостности) информации;

  • обеспечении защиты от дезинформации;

  • обеспечении защиты информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т. п.);

  • разграничении ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

  • обеспечении возможности осуществления контроля и управления процессами обработки и передачи информации.

Таким образом, в целом субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасности причем не любыми средствами, а в зависимости от величины ущерба, в общем случае потенциального, который им может быть нанесен.

Для целей анализа необходимо множество СИО с законными интересами дополнить таким субъектом информационных отношений, как "злоумышленник".

Для обеспечения информационной безопасности субъектов необходимо постоянно поддерживать следующие свойства информации и систем ее обработки:

  • доступность информации, то есть свойство средств и технологии обработки информации, заключающееся в их способности обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов;

  • целостность информации, то есть свойство информации, заключающееся в ее неизменности по отношению к некоторому фиксированному ее состоянию (полнота, точность).

  • конфиденциальность -- свойство информации, указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемое способностью средств и технологий обработки сохранять указанную информацию в тайне от субъектов, не обладающих полномочиями на доступ к ней.

Необходимо при этом иметь в виду, что ущерб субъектам информационных отношений может быть нанесен опосредованно, через определенную информацию и ее носители, в том числе автоматизированные системы обработки. Это требует также обеспечения безопасности систем обработки и передачи информации, хотя в конечном счете цель обеспечения информационной безопасности заключается в обеспечении законных интересов субъектов информационных отношений.

Рассмотрим более детально суть интересов СИО, которые в общем случае не всегда являются непротиворечивыми, что собственно и приводит к конфликтам в платежной системе и правонарушениям.

Плательщик заинтересован в:

  • корректном изменении его расчетного счета в обслуживающем банке;

  • своевременном осуществлении платежа;

  • неразглашении информации о факте проведения и сумме платежа, о получателе средств, остатке средств на счете.

Банк плательщика заинтересован в:

  • корректном изменении его корреспондентского счета в РКЦ;

  • своевременном осуществлении платежей своих клиентов;

  • неразглашении информации об объемах и участниках (клиентах) операций;

  • разграничении ответственности за возможные нарушения с другими участниками процесса расчетов.

    РКЦ плательщика, РКЦ получателя платежа и ГРКЦ заинтересованы в:

  • корректном изменении корреспондентских счетов рассчитываемых банков;

  • своевременном обслуживании банков;

  • разграничении ответственности за возможные нарушения с другими участниками процесса расчетов;

  • неразглашении информации об объемах и адресатах операций (рассчитываемых банках и их клиентах).

Государство заинтересовано в:

  • корректном проведении расчетов между банками (в пределах остатков на коррсчетах);

  • достоверности проводимых расчетов (на предмет неконтролируемой незаконной эмиссии безналичных денег);

  • своевременном осуществлении расчетов между плательщиком и получателем.

Банк получателя платежа заинтересован в:

  • корректном изменении его корреспондентского счета в РКЦ;

  • своевременном осуществлении платежа;

  • неразглашении информации об объемах и адресатах операций клиентов банка;

  • разграничении ответственности за возможные нарушения с другими участниками процесса расчетов.

Получатель платежа заинтересован в:

  • корректном изменении его расчетного счета в обслуживающем его банке;

  • своевременном осуществлении платежа;

  • неразглашении информации о объемах операций и корреспондентах.

Таким образом, основные интересы СИО заключаются в:

  • корректном изменении расчетного счета;

  • своевременном осуществлении платежа;

  • неразглашении информации о объемах операций и корреспондентах.

Действия злоумышленника направлены на достижение собственных целей, что приводит к нанесению ущерба СИО.

Мировой опыт и анализ случаев компьютерных преступлений в банковской сфере показывает, что они составляют:     1) воровство денег -- 36%;     2) воровство услуг -- 34%;     3) воровство информации -- 12%;     4) подделка данных -- 8%;     5) вымогательство -- 4%;     6) нанесение ущерба программам -- 2%;     7) нанесение ущерба оборудованию -- 2%;     8) помехи нормальной работе -- 2%.

При этом размер материального ущерба от разрушения системы/данных в 9 раз превышает ущерб от кражи денег и в 1,8 раза -- от кражи данных и программ. Компьютерные преступления -- это один из видов реализации угроз безопасности информации. В целом угрозы безопасности информации можно разделить по источнику и характеру проявления на классы, показанные на рис. 1.

Рис. 1. Классификация угроз безопасности информации
\begin{figure}\bigskip\centerline{\vbox{\offinterlineskip
\centerline{\hbox to 4...
...to 3.5cm{\hrulefill}\hskip.75cm\hbox to
3.5cm{\hrulefill}}}}\bigskip\end{figure}

Рассмотрим обобщенный перечень возможных угроз, характерный для любой автоматизированной системы (АС). В соответствии с тремя видами источников угроз возможные угрозы делятся на три группы (табл. 1).


Таблица 1
\begin{table}\bigskip\centerline{\vrule\vbox{\offinterlineskip\halign{\strut\
...


Угрозы первой группы являются независимыми от людей. Угрозы подгруппы 1.1 связаны с прямым физическим воздействием на элементы АС (ураганы, наводнения, пожары и т. п.) и ведут к нарушению работы АС и физическому уничтожению носителей информации, средств обработки и передачи данных, обслуживающего персонала.

Угрозы подгруппы 1.2 связаны с электромагнитным воздействием на магнитные носители информации, электронные средства обработки и передачи данных, обслуживающий персонал и ведут к отказам и сбоям аппаратуры, искажению или уничтожению информации, ошибкам персонала.

Угрозы подгруппы 1.3 аналогичны по последствиям угрозам подгруппы 1.2 и, кроме того, ведут к заболеваниям персонала.

Угрозы второй группы связаны с надежностью технических средств систем обеспечения работы АС. Угрозы подгруппы 2.1 связаны с внезапным временным прекращением работы АС и ведут к потерям информации и управления объектами в АС.

Угрозы подгруппы 2.2 связаны с надежностью работы аппаратно-программных средств и ведут к искажению и потерям информации, нарушениям в управлении объектами.

Угрозы подгруппы 2.3 связаны с наличием электромагнитных излучений, за счет которых осуществляется несанкционированный перенос информации за пределы АС, что приводит к утечке информации.

Угрозы подгруппы 2.4 связаны с утечкой информации через легальные каналы связи за счет имеющейся возможности снятия ее специальными датчиками или посредством прямого подключения.

Угрозы третьей группы связаны с наличием людей как в АС, так и вне ее.

Угрозы подгруппы 3.1 связаны со случайными непреднамеренными действиями пользователей, ошибками операторов, программистов, управленческого персонала, сотрудников архивной службы и службы безопасности и ведут к искажению или уничтожению информации, нарушению выполнения АС своих функций, ошибкам в работе программ и средствах управления безопасностью АС.

Угрозы подгруппы 3.2 связаны с преднамеренными действиями людей, направленными на изменение правильной работы АС, например, для получения личных привилегий и доходов. Данная группа угроз является наиболее опасной и распространенной.

Особо отметим такой вид угроз как вредоносное программное обеспечение (вирусы, троянские кони, логические бомбы и т. д.). Данный вид угроз может относиться к группам 3.1 и 3.2, поскольку такого типа программы могут как специально разрабатываться в самых различных целях, так и вноситься пользователем или персоналом АС непреднамеренно.

Исходя из интересов СИО и структуры АС, перечислим наиболее характерные угрозы информации в платежной системе:

  • несанкционированный доступ посторонних лиц, не принадлежащих к числу банковских служащих, и ознакомление с хранимой конфиденциальной информацией;

  • ознакомление банковских служащих с информацией, к которой они не должны иметь доступа;

  • несанкционированное копирование программ и данных;

  • перехват и последующее раскрытие конфиденциальной информации, передаваемой по каналам связи;

  • кража магнитных носителей, содержащих конфиденциальную информацию;

  • кража распечатанных банковских документов;

  • случайное или умышленное уничтожение информации;

  • несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных;

  • фальсификация сообщений, передаваемых по каналам связи, в том числе и навязывание ранее переданного сообщения;

  • отказ от авторства сообщения, переданного по каналам связи;

  • отказ от факта получения информации;

  • ошибки в работе обслуживающего персонала;

  • разрушение файловой структуры из-за некорректной работы программ или аппаратных средств;

  • разрушение информации, вызванное вирусными воздействиями;

  • разрушение архивной банковской информации, хранящейся на магнитных носителях;

  • кража оборудования;

  • ошибки в программном обеспечении;

  • сбои оборудования, в том числе и за счет отключения электропитания и других факторов, препятствующих работе оборудования.
Оценка вероятности появления данных угроз и ожидаемых размеров потерь зависит от многих конкретных факторов в конкретном банке и является трудной задачей.


Вперед Вверх Назад Содержание Предметный указатель
Вперед: 2.3 Проблемы криптографической защиты платежной системы Вверх: 2. Особенности применения криптографии в банковском деле Назад: 2.1 Характеристика платежной системы России   Содержание   Предметный указатель


Проект осуществляется при поддержке:
Геологического факультета МГУ,
РФФИ
   
TopList Rambler's Top100