Банковские платежные системы, а также независимые системы платежей получили большую популярность в последнее время. Связано это с необходимостью моментальных переводов средств в различные уголки мира. Поэтому банки и другие финансовые учреждения осуществляют разработку быстрых и удобных в пользовании платежных систем. Предел действия этих систем очень часто не ограничивается границей одного государства и таким образом возникают международные платежные системы. Такими считаются те платежки, которые осуществляют свою деятельность на территориях двух или более стран.
На данный момент международные системы платежей входят в состав сервиса практически всех банков мира и является неотъемлемой их частью. Защита информации о переводов и лицах, принимающих в них участие, является важнейшим условием в современной информационной политике банковского сектора. Во время разработки и применения национальных и международных банковских систем используются средства и методы правового, организационного, аппаратно-программного и криптографической характера, которые комплексно дают возможность обеспечить достаточный уровень защиты информационной составляющей платежных систем. Направлены эти средства именно на избежание нарушения конфиденциальности, модификации, уничтожения, копирования и распространения информации, не предназначенной для этого.
Обязательной функцией банка при использовании платежных систем как международного, так и национального характера является информирование клиентов о правилах выполнения переводов. Таким образом уменьшается количество инцидентов информационной безопасности по вине самих пользователей услуги перевода средств.
Каждый банк, организуя платежную систему, или же небанковские платежные системы берут на себя ответственность по разработке и реализации политики обеспечения защиты информации и мониторинг выполнения поставленных требования по выявлению инцидентов, реагирование на них и совершенствование системы согласно требованиям развития сферы платежных систем и развития информационных технологий.
Принципы защиты платежных систем
Защита платежных систем международного, так и национального характера, разделяют на два направления - внешнюю и внутреннюю безопасность. Данные направления в комплексе составляют совершенную систему защиты, которая должна справляться со всеми возможными угрозами при проведении платежных транзакций.
В свой состав внешняя безопасность включает случаи возникновения инцидентов безопасности платежных систем во время стихийных бедствий. Данная составляющая актуализируется в зависимости от региона и имеет свою специфику с учетом возможности возникновения того или иного стихийного явления. Также, внешняя безопасность включает в себя предотвращение вмешательства злоумышленников в работу системы, которые могут нанести ущерб в виде похищения средств или информации о пользователей, уничтожения или повреждения системы, что может привести к сбою работы.
Внутренняя составляющая отвечает за организацию работы всех механизмов, которые обеспечиваются функционирования системы. Сюда можно отнести создание надежных и удобных в использовании сервисов для клиентов, регламентирование деятельности обслуживающего персонала согласно с политикой безопасности и обеспечения порядка доступа к ресурсам системы.
Современные принципы построения и работы систем безопасности платежек ориентируются на два основных подхода - комплексный и фрагментарный. Комплексный подход при создании системы безопасности предусматривает разработку и использование защищенного среды для работы с платежной и служебной информации, которая находится в платежной системе. Данная среда содержит в себе организационно, правовые и программно-технические средства и методы противодействия угрозам любого рода.
Второй подход, фрагментарный, ориентированный на противодействие конкретной угрозе и при определенных ситуациях. При сравнении двух принципов, фрагментарный показывает лучшую эффективность при конкретной угрозе и быструю реакцию на инцидент, и одновременно это имеет свой недостаток - ограниченность действия в локальных пределах и отсутствие безопасной среды. Фрагментарный подход почти не используется при построении платежных систем любого типа.
Создание надежной защиты для платежной системы заключается в четырех этапах:
1. анализ потенциальных угроз, которые имеют место в среде обитания платежной системы. На данном этапе проводится полный сбор информации по актуальным угрозам и ведения расширенной базы данных, которая содержит развернутую информацию о частоте угроз, вреда возможных последствий после их возникновения, и методов предотвращения;
2. разработка системы защиты. Данный этап базируется на собранной информации первого этапа и включает организационные и практические меры по планированию и моделированию системы защиты, которая будет защищать от всех предусмотренных угроз. На данном этапе проводится формирование совокупности мероприятий, которые в себя включают разные направления. Сюда относится применение правовых мер, включая использование нормативно-правовых актов, регулирующих вопросы работы с информацией (накопление, обработка и хранение), а также прописана ответственность за нарушение правил. Следующими используются административные меры, которые несут организационный характер и осуществляют регламентацию процессов функционирования системы обработки информации, управления персоналом и действий персонала по своим обязательствам. Отделяются меры физического характера, включающие организацию охраны инфраструктуры и персонала платежной системы. Важнейшее место занимает техническая защита, предусматривающая следующие функции защиты, такие как авторизация пользователя и аутентификация, разграничение доступа, криптографические функции.
3. применение системы защиты, которое предусматривает изготовление, оборудование, настройка и установка средств защиты, которые были спланированы накануне.
4. осуществление постоянного мониторинга состояния системы защиты, постоянное ее обновление и совершенствование требованиям развития отрасли. Также на данном этапе предусматривается ведение базы данных инцидентов безопасности платежной системы, которое позволяет выделять наиболее уязвимые места и исправлять допущенные ошибки в предыдущих этапах.
В соответствии с современными требованиями в сфере защиты платежных систем, угрозы разделяют по классам в соответствии с их характеристиками. Разделение идет на основе целей осуществления угрозы. Он включает в себя нарушения конфиденциальности информации и нарушение целостности, состоящий из полной или частичной компрометации информации, распространение дезинформации и несанкционированная модификация программного обеспечения или же информации, находящейся в платежной системе.
Также угрозы различаются по характеру воздействия на систему, которая стала объектом атаки. Здесь выделяется два вида. Первый это получение доступа к объектам системы, т.е. файлов, данных, каналов связи. Следующим идет использовании скрытых каналов, содержит в себе также работу через память.
Причина появления ошибок также является классовым делением угроз на платежную систему. Здесь различается появление по причине некорректности системы защиты, ошибок администрирования и в алгоритмах межпрограммных связей и самих программ. Сюда также относят ошибки, обнаруженные на последнем этапе создания системы защиты, то есть при реализации алгоритмов и программного обеспечения.
Характер воздействия делится на две ветки - активный и пассивный. Активный предусматривает осуществление определенной системы действий за пределами своих обязанностей по стороны пользователя (злоумышленника), что приводит к изменению работы системы и состояния его защиты. Пассивный в свою очередь базируется на наблюдении за работой системы и проведения полного анализа, в результате позволяет получить конфиденциальную информацию, без нарушения ее структуры системы защиты или работы самой платежной системы.
Способ атаки содержит два класса, которые в свою очередь содержат отдельные направления. Атака может осуществляться как на систему в целом, так и на отдельный объект атаки. При атаке на систему в целом выделяют два типа работы, такие как интерактивный и пакетный режим. Что касается влияния на отдельный объект предполагается опосредованное и непосредственное влияние.
Средства атаки также имеют определенную классификацию, относительно происхождения программного обеспечения. При осуществлении попытки нанесения деструктивного влияния используется штатное и специально разработанное программное обеспечение. Большую угрозу представляет специально разработанное программное обеспечение. Перед его разработкой злоумышленники проводят анализ уязвимостей системы и уже на основе этого выбирается та составляющая, которая является наименее защищенной. Защита всей системы определяется уровнем защиты ее наименее защищенной составляющей. При обнаружении такого незащищенного места, злоумышленники анализируют методы воздействия на него, и используются наиболее эффективный для создания программного обеспечения.
Актуальной проблемой угрозы системе безопасности является несанкционированный доступ или другими словами, получение пользователем доступа к объекту, на который он не имеет доступа, предусмотренного политикой информационной безопасности платежной системы.
Также использование привилегий незаконно, является одной из наиболее частых угроз, которые случаются в политике платежных систем.
Пример платежной системы и работы с ними
Western Union Telegraph Co, одна из самых известных и популярных компаний, которые занимаются денежными переводами. Основана компания еще в 1851 году США. Специализация этой платежной системы в основном направлена на международные денежные переводы. Переводы осуществляются без открытия счета, а между физическими лицами. Срок пересылки составляет всего несколько минут, а срок хранения перевода в платежной системе составляет 45 суток.
Отличительной особенностью данного типа перевода от банковского или почтового является именно скорость и удобство. Для получения перевода нужно в любом отделении обслуживания Western заполнить короткий бланк и предъявить паспорт, а при отправке платежа предоставить документ, который предусматривает вывоз валюты за границу (в соответствии с законодательством страны).
При отправке платежа нужно знать такие данные о получателе, как полное имя и фамилию, страну назначения и город ожидания платежа. При получении соответственно нужно сообщить данные отправителя, сумму перевода и ответ на контрольный вопрос (если включено в переводе отправителем).
Данные методы получения и отправления платежей используются многими платежными системами с определенными модификациями. Это дает возможность избежать ложного назначения или получения средств.
В общем, все ведущие платежные системы мира, обеспечивают надежную защиту своих услуг. От этого во многом зависит их надежность, а соответственно и репутация. Совершенствуются также и методы воздействия с стороны злоумышленников, поэтому отделы безопасности платежек постоянно совершенствуют методы защиты и применяют инновации.
А какие интересные случаи, связанные с безопасностью платежных систем, Вы знаете?
Автор: kobilnyk
Авторские права на статью принадлежат MMGP.COM
Последнее редактирование: