Безопасность межбанковских операций

     9.Практически  такой же защитой обладают  системы цифровых денег, так  как в них на стороне покупателя  устанавливается специализированное  ПО — электронный кошелек,  которое и реализует работу  с цифровыми сертификатами, ЭЦП  и шифрование.

Защита аппаратно-программного комплекса ядра платежной системы  строится по тем же принципам , что и защита систем интернет-банкинга. На рис. 4 представлена схема защиты периметра платежной системы. Особое внимание здесь необходимо уделять ограничению доступа к базе данных, в которой хранятся регистрационные реквизиты участников, открытые ключи и сертификаты (в случае выполнения функций удостоверяющего центра самим авторизационным сервером), информация о заказах, результатах выполнения авторизационных запросов и другая важная информация. Поэтому и здесь применяются общие приемы — разнесение серверов на разные компьютеры, использование межсетевых экранов и программируемых маршрутизаторов, сегментирование локальной сети. Для зарегистрированных пользователей доступ к некоторым дополнительным сервисам организуется под парольной защитой. Электронные документы, циркулирующие между авторизационным сервером и зарегистрированными клиентами (покупатели, магазины), шифруются и подписывайся ЭЦП. Обмен с процессинговыми центрами и банками- участниками производится также с применением средств ЭЦП. В случае использования внешних удостоверяющих центров авторизационный сервер обеспечивает взаимодействие с ними.

Наряду с программно-аппаратными  средствами защиты, упомянутыми выше, значительный эффект приносит организация  в платежной системе службы Fraud-мониторинга (мониторинга транзакций на предмет вероятного мошенничества). Особую важность такая служба имеет для платежных систем, принимающих банковские карты с магнитной полосой. Основными компонентами Fraud- мониторинга сделок являются:

- мониторинг торговых  точек (продавцов);

- контроль  регистрационных  данных, указанных в юридических  документах при заключении договоров  на обслуживание;

- оценка бизнес-плана  юридического лица;

- проверка фактического  наличия заявленных видов предоставляемых  услуг;

- проверка фактического  наличия контактных лиц, адресов,  телефонов;

- формирование базы данных  по мошенническим операциям;

- партнерство с процессинговыми  центрами, банками, торговыми точками;

Рис.4.Схема информационной защиты системы интернет –платежей.

            Реализация мониторинга мошеннических операций осуществляется, как правило, специальной подсистемой, архитектура которой представлена на рис. б. Основой для автоматизации мониторинга являются накопленные в базе данных параметры зафиксированных мошеннических операций — IP-адрес покупателя, E-mail покупателя, сумма заказа и др., а также статистически установленные пороговые значения контролируемых параметров магазинов — частота заказов, минимальная и максимальная сумма заказа, тип предоставляемых магазинами услуг и др. При поступлении авторизационных запросов автоматически проверяются соответствующие параметры, и дальнейшее прохождение запроса определяется установленной стратегией обработки. При превышении установленных пороговых значений транзакции могут блокироваться. В частности, в отношении сомнительных сделок существует возможность ввода режима так называемой отложенной авторизации, т.е. отправка авторизационного запроса в платежную систему выполняется только после получения от магазина подтверждения легитимности покупателя и заказа.

Мониторинг операций выполняется  не только СБ платежной системы, но и магазинами. Интернет-магазин получает доступ к своей информации о сделках, анализируя которую он может заблокировать прием заказов от определенного клиента, перейти на режим отложенной авторизации,  выполнить некоторые другие операции по управлению прохождением своих авторизационных запросов.

Подсистема fraud-мониторинга позволяет получать разнообразные выборки по информационной базе как для определения новых критериев контроля, так и для корректировки пороговых значений существующих.

            Развитые подсистемы Fraud-мониторинга имеют известные российские платежные системы АССИСТ (режим доступа: www.assist.ru) и КиберПлат (режим доступа: www.cyberplat.ru).За рубежом проблемами безопасности карточных транзакций в Интернете очень серьезно занимаются как карточные платежные системы, так и процессинговые центры. В качестве примера можно привести службу BarclayCard Merchant Services (режим доступа: www.barclaycardmerchantservices.co.uk) — два отдела по борьбе и предотвращению мошенничества со штатом сотрудников порядка сотни человек.

            В системах электронной коммерции  в секторе В2В суммы платежей (как единичной сделки, так и  общих оборотов) и ответственность  участников сделок несравненно  выше, чем в секторе В2С. В  силу этого организация безопасного  электронного финансового документооборота  возможна только с использованием  технологий PKI. С другой стороны,  так как участниками сделок  являются юридические лица, между  которыми установлены договорные  отношения, организационные вопросы  регистрации и формирования цифровых  сертификатов и ключей ЭЦП  решаются достаточно просто. В  качестве примера классической  организации информационной защиты  в секторе В2В можно привести  систему Faktura.ru (рис. 6 — схема приведена  на официальном сайте системы  www.faktura.ru).

Рис.5.Архитектура ПО поддержки  Fraud-мониторинга.

Здесь каждый клиент обязан зарегистрироваться в системе, при  этом удостоверяющий центр (Authority.faktura.ru) формирует и выдает клиенту цифровой сертификат, по составу соответствующий  требованиям стандарта Х.509. При  обмене электронными документами любой  клиент может запросить сертификат корреспондента как в целях его аутентификации, так и для извлечения открытого ключа ЭЦП.

Такая структура системы Faktura.ru практически полностью соответствует  технологическому смыслу положений  закона об ЭЦП. Благодаря этому, а  также высокой надежности используемых средств криптозащиты и ЭЦП, грамотному построению программно-аппаратной защиты периметра система имеет очень  неплохие показатели как по количеству клиентов (164 расчетных банка), так  и по разнообразию предоставляемых  сервисов — интернет-банкинг, торговые площадки, расчеты с интернет-магазинами через банковские счета (FakturaPay) и другие.

Рис.6.Организация защиты в системе Factura.

 

 

Заключение

 

Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической  роли, со времени своего появления  они всегда притягивали преступников. К 90-м годам XX века банки перешли  к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело  к появлению новых услуг. Однако компьютерные системы, без которых  в настоящее время не может  обойтись ни один банк, являются также  источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.

Существуют однако два аспекта, выделяющих банки из круга остальных коммерческих систем:

1. Информация в банковских  системах представляет собой  «живые деньги», которые можно  получить, передать, истратить, вложить  и т.д.

2. Она затрагивает интересы  большого количества организаций  и отдельных лиц.

Поэтому информационная безопасность банка — критически важное условие  его существования.

В силу этих обстоятельств, к банковским системам предъявляются  повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации  по следующим причинам:

- усиления конкуренции  между банками;

- необходимости сокращения  времени на производство расчетов;

- необходимости улучшать  сервис.

Сфера информационной безопасности — наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся  подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается  все большая ответственность.

Статистика показывает, что  подавляющее большинство крупных  организаций имеют план с правилами  доступа к информации, а также  план восстановления после аварий. Безопасность электронных банковских систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы.

При этом для каждого отдельного вида банковских операций и электронных  платежей или других способов обмена конфиденциальной информацией существуют свои специфические особенности  защиты. Таким образом, организация  защиты банковских систем есть целый  комплекс мер, которые должны учитывать  как общие концепции, но и специфические  особенности.

Основной вывод, который  можно сделать из анализа развития банковской отрасли, заключается в  том, что автоматизация и компьютеризация  банковской деятельности (и денежного  обращения в целом) продолжает возрастать. Основные изменения в банковской индустрии за последние десятилетия  связаны именно с развитием информационных технологий.

Список  литературы

 

1. Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009.

 

2. Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008.

 

3. Петренко С. А., Курбатов В. А. Политики информационной безопасности. — М.: Компания АйТи, 2006.

 

4. Родичев Ю. Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008.

 

5. Галатенко В. А. Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006.