Bank məlumatlarının təhlükəsizliyinin qorunması tədbirləri. Bankda informasiya təhlükəsizliyi: banklarda ib. Elektron ödəniş İnternet sistemlərində məlumatların mühafizəsi
Bank fəaliyyəti həmişə böyük həcmdə məxfi məlumatların emalı və saxlanması ilə bağlı olmuşdur. İlk növbədə, bu, müştərilər, onların depozitləri və həyata keçirilən bütün əməliyyatlar haqqında şəxsi məlumatlardır.
Kredit təşkilatlarında saxlanılan və emal edilən bütün kommersiya məlumatları viruslar, aparatların nasazlığı, əməliyyat sistemində nasazlıqlar və s. ilə bağlı müxtəlif risklərə məruz qalır. Amma bu problemlər heç bir ciddi ziyan vurmaq iqtidarında deyil. Hər hansı bir müəssisənin informasiya sisteminin işləməsi ağlasığmaz olan məlumatların gündəlik ehtiyat nüsxəsi məlumatın bərpa olunmaz itkisi riskini minimuma endirir. Bundan əlavə, sadalanan təhdidlərdən qorunma üsulları yaxşı işlənmiş və geniş yayılmışdır. Buna görə də, məxfi məlumatlara icazəsiz giriş (NCD) ilə bağlı risklər ön plana çıxır.
İcazəsiz giriş reallıqdır
Bu gün məxfi məlumatları oğurlamaq üçün ən çox yayılmış üç üsul var. Birincisi, onun saxlanma və emal yerlərinə fiziki giriş. Burada bir çox variant var. Məsələn, təcavüzkarlar gecə bank ofisinə girib bütün verilənlər bazası olan sərt diskləri oğurlaya bilərlər. Hətta silahlı basqın da mümkündür, məqsədi pul deyil, məlumatdır. Ola bilsin ki, bank işçisi özü saxlama mühitini ərazidən kənara aparsın.
İkincisi, ehtiyat nüsxələrdən istifadə edin. Əksər banklarda mühüm məlumatların ehtiyat nüsxə sistemləri lent disklərinə əsaslanır. Yaratdıqları nüsxələri maqnit lentlərinə qeyd edirlər, sonra onlar ayrı yerdə saxlanılır. Onlara giriş daha yumşaq şəkildə tənzimlənir. Onların daşınması və saxlanması zamanı nisbətən çox sayda insan onların surətini çıxara bilər. Həssas məlumatların ehtiyat nüsxəsinin çıxarılması ilə bağlı riskləri qiymətləndirməmək olmaz. Məsələn, əksər ekspertlər əmindirlər ki, Rusiya Federasiyası Mərkəzi Bankının 2005-ci ildə satışa çıxarılan əməliyyatları haqqında məlumat bazaları məhz maqnit lentlərindən götürülmüş surətlər sayəsində oğurlanıb. Dünya praktikasında buna bənzər çoxlu hadisələr məlumdur. Xüsusilə, keçən sentyabr ayında kredit kartı provayderi olan Chase Card Services (JPMorgan Chase & Co.-nun bölməsi) əməkdaşları səhvən 2,6 milyon Circuit City kredit hesabı sahibinə dair məlumatların əks olunduğu ehtiyat nüsxələri olan beş maqnit lentini atıblar.
Üçüncüsü, məxfi məlumatların sızmasının ən çox ehtimal olunan yolu bank işçilərinin icazəsiz girişidir. Hüquqları ayırmaq üçün yalnız standart əməliyyat sistemi vasitələrindən istifadə edərkən, istifadəçilər çox vaxt dolayı yolla (müəyyən proqram təminatının köməyi ilə) işlədikləri verilənlər bazasını tamamilə köçürmək və şirkətdən kənara çıxarmaq imkanı əldə edirlər. Bəzən işçilər bunu heç bir zərərli niyyət olmadan, sadəcə olaraq evdə informasiya ilə işləmək üçün edirlər. Bununla belə, bu cür hərəkətlər təhlükəsizlik siyasətinin ciddi şəkildə pozulmasıdır və məxfi məlumatların ictimaiyyətə açıqlanmasına səbəb ola bilər (və edir!).
Bundan əlavə, hər hansı bir bankda yerli şəbəkədə imtiyazları yüksək olan bir qrup insan var. Söhbət sistem administratorlarından gedir. Bir tərəfdən, bu, öz rəsmi vəzifələrini yerinə yetirmək üçün lazımdır. Lakin, digər tərəfdən, onların istənilən məlumatı əldə etmək və “izlərini örtmək” imkanı var.
Beləliklə, bank məlumatlarının icazəsiz girişdən qorunması sistemi hər biri özünəməxsus təhlükələrdən qorunmanı təmin edən ən azı üç alt sistemdən ibarət olmalıdır. Bunlar məlumatlara fiziki girişdən qorunmaq üçün alt sistem, ehtiyat nüsxələrin təhlükəsizliyini təmin etmək üçün alt sistem və insayderlərdən qorunmaq üçün alt sistemdir. Onların heç birini laqeyd etməmək məsləhətdir, çünki hər bir təhlükə məxfi məlumatların açıqlanmasına səbəb ola bilər.
Banklarla bağlı qanun yoxdur?
Hal-hazırda bankların fəaliyyəti "Banklar və bank fəaliyyəti haqqında" federal qanunla tənzimlənir. O, digər şeylərlə yanaşı, “bank sirri” anlayışını təqdim edir. Buna əsasən, istənilən kredit təşkilatı müştəri depozitləri ilə bağlı bütün məlumatların məxfiliyini təmin etməyə borcludur. O, məlumatın sızması nəticəsində dəymiş zərərin ödənilməsi də daxil olmaqla, onların açıqlanmasına görə məsuliyyət daşıyır. Eyni zamanda, bank informasiya sistemlərinin təhlükəsizliyinə dair tələblər yoxdur. Bu o deməkdir ki, banklar kommersiya məlumatlarının mühafizəsi ilə bağlı bütün qərarları öz mütəxəssislərinin və ya üçüncü tərəf şirkətlərinin təcrübəsinə (məsələn, informasiya təhlükəsizliyi auditinin aparılması) əsaslanaraq müstəqil şəkildə qəbul edirlər. Yeganə tövsiyə Rusiya Federasiyası Mərkəzi Bankının “Rusiya Federasiyasının bank sistemi təşkilatlarının informasiya təhlükəsizliyinin təmin edilməsi” standartıdır. Ümumi müddəalar”. İlk dəfə 2004-cü ildə ortaya çıxdı və 2006-cı ildə yeni versiya qəbul edildi. Bu idarə sənədinin yaradılması və yekunlaşdırılması zamanı informasiya təhlükəsizliyi sahəsində mövcud Rusiya və beynəlxalq standartlardan istifadə edilmişdir.
Rusiya Federasiyasının Mərkəzi Bankı bunu yalnız digər banklara tövsiyə edə bilər, lakin məcburi həyata keçirilməsində israr edə bilməz. Bundan əlavə, standart spesifik məhsulların seçilməsinə rəhbərlik edən bir neçə aydın tələbləri ehtiva edir. Bu, şübhəsiz ki, vacibdir, lakin hazırda onun heç bir ciddi praktiki əhəmiyyəti yoxdur. Məsələn, sertifikatlaşdırılmış məhsullar haqqında belə deyir: “... məlumatı icazəsiz girişdən qorumaq üçün sertifikatlaşdırılmış və ya təsdiq edilmiş vasitələrdən istifadə edilə bilər.” Müvafiq siyahı yoxdur.
Standart həmçinin banklarda məlumatların mühafizəsinin kriptoqrafik vasitələrinə dair tələbləri sadalayır. Və burada artıq az-çox aydın tərif var: “CIPF... Rusiya Federasiyasının milli standartlarına, qarşı tərəflə müqavilənin şərtlərinə və (və ya) standartlara uyğun gələn alqoritmlər əsasında həyata keçirilməlidir. təşkilatın." Kriptoqrafik modulun GOST 28147-89-a uyğunluğu sertifikatlaşdırma yolu ilə təsdiqlənə bilər. Buna görə də, bir bankda şifrələmə sistemlərindən istifadə edərkən, Rusiya Federasiyasının FSB tərəfindən sertifikatlaşdırılmış proqram təminatı və ya aparat kriptoprovayderlərindən, yəni proqram təminatına qoşulan və şifrələmə prosesinin özünü həyata keçirən xarici modullardan istifadə etmək məqsədəuyğundur.
Keçən iyul ayında Rusiya Federasiyasının "Fərdi məlumatlar haqqında" Federal Qanunu qəbul edildi və 2007-ci il yanvarın 1-dən qüvvəyə mindi. Bəzi ekspertlər bunu bank təhlükəsizlik sistemləri üçün daha spesifik tələblərin yaranması ilə əlaqələndirdilər, çünki banklar şəxsi məlumatları emal edən təşkilatlardır. Lakin, sözsüz ki, ümumilikdə çox vacib olan qanunun özü bu gün praktikada tətbiq olunmur. Problem özəl məlumatların və onların icrasına nəzarət edə bilən orqanların qorunması üçün standartların olmamasıdır. Yəni məlum olur ki, banklar hazırda kommersiya informasiyasının mühafizə sistemlərini seçməkdə sərbəstdirlər.
Fiziki girişin qorunması
Banklar ənənəvi olaraq əməliyyat filiallarının, qiymətlilərin saxlanması şöbələrinin və s. fiziki təhlükəsizliyinə çox böyük diqqət yetirirlər. Bütün bunlar fiziki giriş vasitəsilə kommersiya məlumatlarına icazəsiz daxil olmaq riskini azaldır. Bununla belə, serverlərin yerləşdiyi bank ofisləri və texniki binalar adətən qorunma səviyyəsinə görə digər şirkətlərin ofislərindən fərqlənmir. Buna görə də təsvir olunan riskləri minimuma endirmək üçün kriptoqrafik qorunma sistemindən istifadə etmək lazımdır.
Bu gün bazarda məlumatları şifrələyən çoxlu sayda kommunal xidmətlər mövcuddur. Bununla belə, onların banklarda işlənməsinin xüsusiyyətləri müvafiq proqram təminatına əlavə tələblər qoyur. Birincisi, kriptoqrafik mühafizə sistemi şəffaf şifrələmə prinsipini həyata keçirməlidir. Onu istifadə edərkən əsas yaddaşdakı məlumatlar həmişə yalnız şifrələnmiş formada olur. Bundan əlavə, bu texnologiya məlumatlarla müntəzəm işləmək xərclərini minimuma endirməyə imkan verir. Onların hər gün şifrəsini açmaq və şifrələmək lazım deyil. Məlumata giriş serverdə quraşdırılmış xüsusi proqram təminatı vasitəsilə həyata keçirilir. O, məlumat əldə edildikdə avtomatik olaraq şifrəni açır və onu sabit diskinizə yazmazdan əvvəl şifrələyir. Bu əməliyyatlar birbaşa serverin operativ yaddaşında həyata keçirilir.
İkincisi, bank məlumat bazaları çox böyükdür. Beləliklə, kriptoqrafik məlumatların mühafizəsi sistemi virtual deyil, sabit disklərin real bölmələri, RAID massivləri və digər server saxlama vasitələri, məsələn, SAN yaddaşı ilə işləməlidir. Fakt budur ki, sistemə virtual disk kimi qoşula bilən konteyner faylları böyük həcmli məlumatlarla işləmək üçün nəzərdə tutulmayıb. Belə bir fayldan yaradılmış virtual disk böyük olduqda, hətta bir neçə nəfər tərəfindən eyni vaxtda daxil olduqda, məlumatın oxunması və yazılması sürətində əhəmiyyətli bir azalma müşahidə edə bilərsiniz. Böyük konteyner faylı olan bir neçə onlarla insanın işi sırf işgəncəyə çevrilə bilər. Bundan əlavə, nəzərə almalısınız ki, bu obyektlər viruslar, fayl sistemindəki nasazlıqlar və s. Axı, mahiyyətcə, onlar adi fayllardır, lakin ölçüləri olduqca böyükdür. Və hətta onlardakı cüzi bir dəyişiklik də ondakı bütün məlumatları deşifrə etməyi qeyri-mümkün edə bilər. Bu məcburi tələblərin hər ikisi mühafizənin həyata keçirilməsi üçün uyğun olan məhsulların çeşidini əhəmiyyətli dərəcədə daraldır. Əslində, bu gün Rusiya bazarında yalnız bir neçə belə sistem var.
Kriptoqrafik məlumatların qorunması üçün server sistemlərinin texniki xüsusiyyətlərini ətraflı nəzərdən keçirməyə ehtiyac yoxdur, çünki əvvəlki sayların birində biz bu məhsulları artıq müqayisə etmişik. (Stolyarov N., Davletxanov M. UTM qorunması.) Amma banklar üçün mövcudluğu arzu olunan belə sistemlərin bəzi xüsusiyyətlərini qeyd etmək lazımdır. Birincisi, istifadə olunan kriptoqrafik modulun artıq qeyd olunan sertifikatı ilə bağlıdır. Əksər banklar artıq müvafiq proqram və ya aparata malikdirlər. Buna görə də server əsaslı informasiya təhlükəsizliyi sistemi onların qoşulması və istifadəsi imkanlarını təmin etməlidir. İnformasiya təhlükəsizliyi sistemi üçün ikinci xüsusi tələb ofis və/və ya server otağının fiziki təhlükəsizlik sisteminə inteqrasiya imkanıdır. Bu, məlumatı oğurluq, sındırma və s. ilə əlaqəli icazəsiz girişdən qorumağa imkan verir.
Banklar məlumatların təhlükəsizliyinə xüsusi diqqət yetirməlidirlər, çünki bu, əslində müştərilərin puludur. Buna görə də mühafizə sistemi onun itirilməsi riskini minimuma endirən xüsusi imkanlara malik olmalıdır. Ən çox diqqət çəkənlərdən biri sabit diskdə pis sektorların aşkarlanması funksiyasıdır. Bundan əlavə, ilkin disk şifrələməsi, şifrənin açılması və yenidən şifrələmə proseslərinin dayandırılması və ləğv edilməsi imkanı böyük əhəmiyyət kəsb edir. Bunlar kifayət qədər uzun prosedurlardır, hər hansı bir uğursuzluq bütün məlumatların tamamilə itirilməsi ilə təhdid edir.
İnsan amili məxfi məlumatlara icazəsiz girişlə bağlı risklərə çox böyük təsir göstərir. Buna görə də arzu olunandır ki, təhlükəsizlik sistemi bu cür birləşmələri azaltmağa qadir olsun. Bu, şifrələmə açarlarını saxlamaq üçün etibarlı vasitələrdən - smart kartlardan və ya USB açarlardan istifadə etməklə əldə edilir. Bu tokenlərin məhsula daxil edilməsi optimaldır, bu, yalnız xərcləri optimallaşdırmağa imkan vermir, həm də proqram təminatı və aparatın tam uyğunluğunu təmin edir.
Təhlükəsizlik sisteminin etibarlılığına insan amilinin təsirini minimuma endirməyə imkan verən digər vacib funksiya əsas kvorumdur. Onun mahiyyəti şifrələmə açarını bir neçə hissəyə bölməkdir, hər biri bir məsul işçinin istifadəsinə verilir. Qapalı sürücüyü birləşdirmək üçün müəyyən sayda hissə tələb olunur. Üstəlik, bu, əsas hissələrin ümumi sayından az ola bilər. Bu yanaşma məlumatları məsul işçilər tərəfindən sui-istifadədən qorumağa imkan verir, həmçinin bankın işi üçün lazım olan çevikliyi təmin edir.
Ehtiyat qoruma
Bankda saxlanılan bütün məlumatların müntəzəm olaraq ehtiyat nüsxəsinin çıxarılması mütləq zəruri tədbirdir. Viruslar tərəfindən məlumatların pozulması, aparat çatışmazlığı və s. kimi problemlər zamanı itkiləri əhəmiyyətli dərəcədə azaltmağa imkan verir. Ancaq eyni zamanda, icazəsiz girişlə bağlı riskləri artırır. Təcrübə göstərir ki, ehtiyat nüsxələrin qeydə alındığı media server otağında deyil, başqa otaqda və ya hətta binada saxlanmalıdır. Əks halda, yanğın və ya digər ciddi insident baş verərsə, həm məlumatların özü, həm də onun arxivləri geri qaytarıla bilməyəcək şəkildə itirilə bilər. Ehtiyat nüsxələri icazəsiz istifadədən etibarlı şəkildə qorumaq yalnız kriptoqrafiyanın köməyi ilə mümkündür. Bu halda, şifrləmə açarını evdə saxlamaqla təhlükəsizlik işçisi arxivləri olan medianı təhlükəsiz şəkildə texniki işçilərə ötürə bilər.
Ehtiyat nüsxələrin kriptoqrafik mühafizəsinin təşkilində əsas çətinlik məlumatların arxivləşdirilməsini idarə etmək üçün məsuliyyətlərin ayrılması ehtiyacıdır. Sistem inzibatçısı və ya digər texniki işçi ehtiyat prosesini özü qurmalı və həyata keçirməlidir. Məlumatın şifrələnməsini məsul işçi - təhlükəsizlik işçisi idarə etməlidir. Anlamaq lazımdır ki, əksər hallarda rezervasiyalar avtomatik həyata keçirilir. Bu problem yalnız ehtiyat idarəetmə sistemi ilə məlumatları qeyd edən qurğular (streamerlər, DVD diskləri və s.) arasında kriptoqrafik mühafizə sistemini “qurmaqla” həll edilə bilər.
Beləliklə, kriptoqrafik məhsulların banklarda istifadə edilməsi üçün onlar həm də yaddaş daşıyıcılarında ehtiyat nüsxələrin yazılması üçün istifadə olunan müxtəlif qurğularla işləməyi bacarmalıdırlar: lent yazıcıları, CD və DVD diskləri, çıxarıla bilən sərt disklər və s.
Bu gün ehtiyat nüsxələrə icazəsiz girişlə bağlı riskləri minimuma endirmək üçün nəzərdə tutulmuş üç növ məhsul var. Birinciyə xüsusi qurğular daxildir. Bu cür aparat həlləri məlumatın etibarlı şifrələnməsi və yüksək sürət də daxil olmaqla bir çox üstünlüklərə malikdir. Bununla belə, onların banklarda istifadəsinə mane olan üç əhəmiyyətli çatışmazlıq var. Birincisi: çox yüksək qiymət (on minlərlə dollar). İkincisi: Rusiyaya idxalla bağlı mümkün problemlər (unutmaq olmaz ki, biz kriptoqrafik vasitələrdən danışırıq). Üçüncü çatışmazlıq xarici sertifikatlı kripto provayderləri onlara qoşmaq mümkün olmamasıdır. Bu lövhələr yalnız aparat səviyyəsində onlarda həyata keçirilən şifrələmə alqoritmləri ilə işləyir.
Ehtiyat kriptoqrafik mühafizə sistemlərinin ikinci qrupu ehtiyat proqram təminatı və aparat tərtibatçılarının öz müştərilərinə təklif etdiyi modullardan ibarətdir. Onlar bu sahədə bütün ən tanınmış məhsullar üçün mövcuddur: ArcServe, Veritas Backup Exec və s. Düzdür, onların da öz xüsusiyyətləri var. Əsas odur ki, yalnız “sizin” proqram təminatınız və ya diskinizlə işləməkdir. Bu arada bankın informasiya sistemi daim təkmilləşir. Və ola bilər ki, ehtiyat sisteminin dəyişdirilməsi və ya genişləndirilməsi mühafizə sisteminin dəyişdirilməsi üçün əlavə xərclər tələb edə bilər. Bundan əlavə, bu qrupdakı məhsulların əksəriyyəti köhnə, yavaş şifrələmə alqoritmlərini (məsələn, 3DES) tətbiq edir, əsas idarəetmə alətləri yoxdur və xarici kripto provayderləri bağlamaq imkanı yoxdur.
Bütün bunlar bizi üçüncü qrupdan olan ehtiyat nüsxələrin kriptoqrafik mühafizə sistemlərinə ciddi diqqət yetirməyə məcbur edir. Buraya xüsusi məlumat arxivləşdirmə sistemləri ilə bağlı olmayan xüsusi hazırlanmış proqram təminatı, aparat və proqram məhsulları daxildir. Onlar bankın bütün filialları da daxil olmaqla, bankın bütün ərazisində istifadə etməyə imkan verən geniş çeşidli məlumatların qeydə alınması cihazlarını dəstəkləyir. Bu, istifadə olunan qoruyucu vasitələrin vahidliyini təmin edir və əməliyyat xərclərini minimuma endirir.
Bununla belə, qeyd etmək lazımdır ki, bütün üstünlüklərinə baxmayaraq, bazarda üçüncü qrupdan olan məhsullar çox azdır. Bu, çox güman ki, kriptoqrafik ehtiyat mühafizə sistemlərinə böyük tələbatın olmaması ilə bağlıdır. Bankların və digər iri təşkilatların rəhbərliyi kommersiya məlumatlarının arxivləşdirilməsi ilə bağlı risklərin reallığını dərk edən kimi bu bazarda oyunçuların sayı artacaq.
İnsayderlərdən qorunma
İllik CSI/FBI Kompüter Cinayətləri və Təhlükəsizliyi Sorğusu kimi informasiya təhlükəsizliyi sahəsində son tədqiqatlar göstərdi ki, əksər təhdidlərdən şirkətlərin maliyyə itkiləri ildən-ilə azalır. Bununla belə, itkilərin artdığı bir sıra risklər var. Onlardan biri xidməti vəzifələrini yerinə yetirmək üçün kommersiya məlumatlarına çıxışı zəruri olan işçilər tərəfindən məxfi məlumatların qəsdən oğurlanması və ya onlarla işləmə qaydalarının pozulmasıdır. Onlara insayderlər deyilir.
Əksər hallarda məxfi məlumatların oğurlanması mobil mediadan istifadə etməklə həyata keçirilir: CD və DVD-lər, ZIP cihazları və ən əsası bütün növ USB disklər. Məhz onların kütləvi şəkildə yayılması bütün dünyada insayderliyin çiçəklənməsinə səbəb oldu. Əksər bankların rəhbərləri, məsələn, onların müştərilərinin şəxsi məlumatlarının yer aldığı məlumat bazası və ya üstəlik, onların hesabları üzrə əməliyyatlar cinayət strukturlarının əlinə keçərsə, yarana biləcək təhlükələri yaxşı bilirlər. Və əllərində olan təşkilati üsullardan istifadə edərək mümkün məlumat oğurluğu ilə mübarizə aparmağa çalışırlar.
Lakin bu halda təşkilati üsullar səmərəsizdir. Bu gün siz miniatür fləş, mobil telefon, mp3 pleyer, rəqəmsal kameradan istifadə edərək kompüterlər arasında məlumat ötürülməsini təşkil edə bilərsiniz... Əlbəttə ki, bütün bu cihazların ofisə gətirilməsini qadağan etməyə cəhd edə bilərsiniz, lakin bu, ilk növbədə, işçilərlə münasibətlərə mənfi təsir göstərəcək , ikincisi, insanlar üzərində həqiqətən effektiv nəzarət yaratmaq hələ də çox çətindir - bank "poçt qutusu" deyil. Və hətta kompüterlərdə xarici mediaya (FDD və ZIP sürücüləri, CD və DVD sürücüləri və s.) və USB portlarına məlumat yazmaq üçün istifadə edilə bilən bütün cihazları söndürmək də kömək etməyəcək. Axı, birincisi iş üçün lazımdır, ikincisi isə müxtəlif periferik qurğulara qoşulur: printerlər, skanerlər və s. Və heç kim bir insanın printeri söndürməsinə, pulsuz porta fləş sürücüsünü daxil etməsinə və ona vacib məlumatları köçürməsinə bir dəqiqə mane ola bilməz. Əlbəttə ki, özünüzü qorumaq üçün orijinal yollar tapa bilərsiniz. Məsələn, bir bank problemi həll etməyin bu üsulunu sınadı: USB portu və kabelin qovşağını epoksi qatranla doldurdular, sonuncunu kompüterə möhkəm "bağladılar". Ancaq xoşbəxtlikdən, bu gün daha müasir, etibarlı və çevik nəzarət üsulları var.
İnsayderlərlə bağlı riskləri minimuma endirməyin ən təsirli vasitəsi məlumatın surətini çıxarmaq üçün istifadə oluna bilən bütün cihazları və kompüter portlarını dinamik şəkildə idarə edən xüsusi proqram təminatıdır. Onların iş prinsipi aşağıdakı kimidir. Hər bir istifadəçi qrupu və ya hər bir istifadəçi üçün ayrı-ayrılıqda müxtəlif port və cihazlardan istifadə etmək icazələri təyin edilir. Bu cür proqram təminatının ən böyük üstünlüyü çeviklikdir. Siz cihazların xüsusi növləri, onların modelləri və fərdi nümunələr üçün məhdudiyyətlər daxil edə bilərsiniz. Bu, çox mürəkkəb giriş hüquqlarının paylanması siyasətlərini həyata keçirməyə imkan verir.
Məsələn, bəzi işçilərə USB portlarına qoşulmuş hər hansı printer və ya skanerdən istifadə etməyə icazə verə bilərsiniz. Bununla belə, bu porta daxil edilmiş bütün digər cihazlar əlçatmaz qalacaq. Əgər bank tokenlərə əsaslanan istifadəçi autentifikasiya sistemindən istifadə edirsə, onda parametrlərdə istifadə olunan açar modelini təyin edə bilərsiniz. Sonra istifadəçilərə yalnız şirkət tərəfindən satın alınan cihazlardan istifadə etməyə icazə veriləcək, qalanların hamısı yararsız olacaq.
Yuxarıda təsvir edilən mühafizə sistemlərinin işləmə prinsipinə əsaslanaraq, qeyd cihazlarının və kompüter portlarının dinamik bloklanmasını həyata keçirən proqramları seçərkən hansı məqamların vacib olduğunu başa düşə bilərsiniz. Birincisi, çox yönlüdür. Mühafizə sistemi mümkün portların və giriş/çıxış cihazlarının bütün spektrini əhatə etməlidir. Əks halda, kommersiya məlumatlarının oğurlanması riski qəbuledilməz dərəcədə yüksək olaraq qalır. İkincisi, sözügedən proqram təminatı çevik olmalıdır və cihazlar haqqında çoxlu sayda müxtəlif məlumatlardan istifadə edərək qaydalar yaratmağa imkan verməlidir: onların növləri, model istehsalçıları, hər bir nümunədə olan unikal nömrələr və s. Üçüncüsü, insayderin mühafizəsi sistemi bankın informasiya sistemi ilə, xüsusən Active Directory ilə inteqrasiya edə bilməlidir. Əks halda, administrator və ya təhlükəsizlik işçisi istifadəçilərin və kompüterlərin iki məlumat bazasını saxlamalı olacaq ki, bu da nəinki əlverişsizdir, həm də xəta riskini artırır.
Gəlin ümumiləşdirək
Beləliklə, bu gün bazarda istənilən bankın məlumatı icazəsiz daxil olmaqdan və sui-istifadədən qorumaq üçün etibarlı sistem təşkil edə biləcəyi məhsullar var. Düzdür, onları seçərkən çox diqqətli olmaq lazımdır. İdeal olaraq, bu, müvafiq səviyyəli daxili mütəxəssislər tərəfindən həyata keçirilməlidir. Üçüncü tərəf şirkətlərinin xidmətlərindən istifadəyə icazə verilir. Ancaq bu vəziyyətdə, bankın adekvat proqram təminatı ilə deyil, təchizatçı şirkət üçün faydalı olanı məharətlə tətbiq etdiyi bir vəziyyət mümkündür. Bundan əlavə, informasiya təhlükəsizliyi konsaltinqinin daxili bazarı ilkin mərhələdədir.
Bu arada, düzgün seçim etmək heç də çətin deyil. Sadaladığımız meyarlarla silahlanmaq və təhlükəsizlik sistemləri bazarını diqqətlə öyrənmək kifayətdir. Ancaq burada yadda saxlamaq lazım olan bir tələ var. İdeal olaraq, bankın informasiya təhlükəsizliyi sistemi vahid olmalıdır. Yəni, bütün alt sistemlər mövcud informasiya sisteminə inteqrasiya olunmalı və üstünlük verilən halda ümumi idarəetməyə malik olmalıdır. Əks halda, mühafizənin idarə edilməsi üçün əmək xərclərinin artması və idarəetmə səhvləri səbəbindən artan risklər qaçılmazdır. Buna görə də, bu gün təsvir edilən hər üç müdafiə alt sistemini qurmaq üçün bir tərtibatçı tərəfindən buraxılan məhsulları seçmək daha yaxşıdır. Bu gün Rusiyada bank məlumatlarını icazəsiz girişdən qorumaq üçün lazım olan hər şeyi yaradan şirkətlər var.
Banklar və onlarla birlikdə hər şey
əlaqəli - həmişə hamı üçün hədəf olmuşdur
fırıldaqçılar növü. İndiki vaxtda bunlar
elektronika ilə bağlı fırıldaqçılıq
cinayət. Mən isə bir insan kimi
Bunların qarşısını almağa çalışıram, bir az istərdim
bu məsələni vurğulayın və haqqında mifi çürütün
tək haker - nüfuz edən bankçılıq
sistemi və ona TAM giriş əldə edir
informasiya resursları.
Birincisi, gəlin baxaq
təhlükəsizlik məsələsi
hesablama kompleksi. Altında
sistemin təhlükəsizliyini başa düşmək -
cəhdlərə müqavimət göstərmək bacarığı
nüfuz etmə, icazəsiz giriş, hüquqların əldə edilməsi və
imtiyazlar, habelə məhv və ya
məlumatın təhrif edilməsi. Bizdə daha çox var
daxili təhlükəsizliklə maraqlanan, yəni.
sistemin işləməsini təmin edir
normal işləmə və bütövlüyün təmin edilməsi,
təhlükəsizlik və məxfilik
məlumat.
Siyahının təhlili
mövcud təhlükələr - müəyyən edilə bilər
bank mühafizəsinin əsas istiqamətləri
sistemlər:
- Fiziki müdafiə. Bunlar.
avadanlıqların mexaniki təsirlərdən qorunması
zədələnmə, oğurluq, xüsusi quraşdırma
elektromaqnit üçün avadanlıq
çıxarılması - NSD-dən qorunma.
- Elektron mühafizə
sənəd axını. Bunlar. ilə şifrələmə
bütün əhəmiyyətli açıq açar
elektron yazışmalar. - Antivirus qorunması.
Kompleksin quraşdırılması
xüsusi proqram təminatı
qarşısının alınması üçün təminat
kompüter şəbəkəsinə daxil olmaq
zərərli proqram.
Nə olduğunu başa düşdükdən sonra
belə bir təhlükəsizlik və qərar qəbul etdik
onun təmin edilməsi məsələsinin əhəmiyyətinə keçək
elektron mühafizə vasitələrinin işıqlandırılmasına
sistemləri
Qoruma vasitələrinə
proqram təminatı, hardware və daxildir
aparat və proqram sistemləri.
Öz xüsusiyyətlərinə görə
ən etibarlı mühafizə sistemi imkan verir
yalnız hardware və hardware tətbiq edin -
proqram vasitələri. Bu faktla bağlıdır
ki, bu sistemlər ən çox
ixtisaslaşmış, yəni icra edir
müəyyən funksiyalar, bu əladır
üstünlük, çünki qorumaq və ya
ixtisaslaşdırılmış test
cihaz daha sadədir
universal. Başqa bir üstünlük
ixtisaslaşmış sistemlərdir
fiziki və məntiqi cəhətdən imkan verirlər
kritik blokları təcrid edin
məlumat. Bundan əlavə, proqramlı olaraq -
aparat sistemləri etibarlı təmin edir
modifikasiya, silinmə və ya oğurluğa qarşı qorunma
sistem proqramçıları tərəfindən məlumat və ya
yüksək ixtisaslı kadrlar.
Adətən proqram və aparatda
təhlükəsizlik
Silinmə funksiyası təmin edilmişdir
cəhd edərkən gizli məlumat
avadanlıq otağına fiziki nüfuz
sistemin bir hissəsidir.
Həm də nəzərə alaraq
sistemin iqtisadi səmərəliliyi
təhlükəsizlik, daha çox istifadə olunur
yalnız proqram təminatı, çünki qiymət
Xüsusi avadanlıq modulları -
olduqca yüksək. İstifadə edərkən
proqram təminatı, çox alırsınız
çevik, kifayət qədər səviyyəni təmin edir
müdafiə və eyni zamanda əhəmiyyətsizdir
proqram təminatının saxlanması xərcləri
komplekslər (texniki təchizatla müqayisədə,
sistemi. Başqa bir vacib
proqram təminatının tətbiqinin üstünlüyü
müdafiə - onu dəyişdirmək imkanıdır
mürəkkəbləşməyə və ya sadələşdirməyə doğru, in
təchizat ehtiyaclarından asılı olaraq
təhlükəsizlik.
Proqram təminatından istifadə
aşağıdakı vəsaitlər həyata keçirilə bilər
qorunma üsulları:
- Kriptoqrafik
transformasiya .
Bunlar. məlumatların şifrələnməsi. Ən çox
ümumi üsullar DES-dir
və RSA. DES- MƏLUMATLARIN SİFORLANMASI STANDARTI - bu standart
kriptoqrafik çevrilmə
üçün IBM tərəfindən hazırlanmış məlumatlar
öz ehtiyacları, lakin sonradan oldu
ABŞ federal standartı. DES alqoritmi
bütün dünyada geniş istifadə olunur,
açıq mənbədir və dərc edilmişdir. O
asan başa düşülən, üsuldan istifadə edir
açara əsaslanan və olmayan qoruma
"məxfilik" dərəcəsindən asılıdır
alqoritm. RSA- hələlik
ən perspektivli üsuldur, çünki
açarın ötürülməsini tələb etmir
digər istifadəçilər üçün şifrələmə.
Məlumatların kriptoqrafik modifikasiyası
ilk açıq açar tərəfindən həyata keçirilir,
və informasiyanın bərpası baş verir
ikinci gizli açardan istifadə etməklə.
Hazırda RSA-nın əsas tətbiqi
elektron sənəd dövriyyəsinin qorunması. IN
misal kimi göstərə bilərik
zəmanət verən SSL (Secure Sockets Layer) protokolu
şəbəkə üzərindən təhlükəsiz məlumat ötürülməsi. SSL
kriptoqrafik sistemi birləşdirir
açıq açar və blok şifrələməsi
data. Yeganə çatışmazlıq
RSA alqoritmi ondan ibarətdir ki, buna uyğun deyil
sonu öyrənilib və 100% zəmanət yoxdur
onun etibarlılığı. - Doğrulama
istifadəçilər .
Bunlar. daxil edilənlərin düzgünlüyünün yoxlanılması
istifadəçi qeydiyyatı
giriş məlumatları.
Zorlamaq üçün istifadə olunur
daxil olmaq üçün seçki hüquqlarının tətbiqi
informasiya resursları və hüquqları
sistemdə əməliyyatların yerinə yetirilməsi. - Demarkasiya
üzrə istifadəçilərin hüquq və imtiyazları
informasiya resurslarına çıxış . - Nəzarət
məlumat bütövlüyü, antivirus
mühafizə, audit. Bunlar.
fəaliyyətin izlənməsi
sistemdə işləyən istifadəçilər və proqram təminatı
əvvəlcədən təyin edilmiş qeydiyyatdan keçməklə
sistem jurnalında hadisələrin növləri
təhlükəsizliyi, eləcə də yerinə yetirilməsi
müəyyən cavablar və ya
icrasına qadağa qoyulması. - -nin müşahidəsi
informasiya təhlükəsizliyi sistemlərinin fəaliyyəti,
həm proqram təminatı, həm də aparat .
Bunlar. nəzarətin həyata keçirilməsi və
qoruyucu mexanizmlərə nəzarət
təhlükəsizlik sistemləri. - Ehtiyat
kopyalama və sonra
məlumatların bərpası . - Firewall (firewall)
- sistem və ya sistemlərin birləşməsi;
ikisi arasında qoruyucu maneə yaradır
və ya çoxlu sayda şəbəkə və
şəxsiyə müdaxilənin qarşısını alır
xalis. Firewall virtual olaraq xidmət edir
paketlərin birindən ötürülməsinə maneələr
şəbəkələri digərinə.
Əsas çatışmazlıq
yalnız əsasında qurulmuş mühafizə sistemləri
proqram sistemləridir
NSD zamanı onların təhlilinin mümkünlüyü. IN
nəticədə onu istisna etmək olmaz
üsulların işlənib hazırlanması imkanı
proqram alətləri kompleksinin öhdəsindən gəlmək
təhlükəsizlik və ya
dəyişikliklər.
Davamı üçün...
Bank fəaliyyəti həmişə böyük həcmdə məxfi məlumatların emalı və saxlanması ilə bağlı olmuşdur. İlk növbədə, bu, müştərilər, onların depozitləri və həyata keçirilən bütün əməliyyatlar haqqında şəxsi məlumatlardır.
Kredit təşkilatlarında saxlanılan və emal edilən bütün kommersiya məlumatları viruslar, aparatların nasazlığı, əməliyyat sistemində nasazlıqlar və s. ilə bağlı müxtəlif risklərə məruz qalır. Amma bu problemlər heç bir ciddi ziyan vurmaq iqtidarında deyil. Hər hansı bir müəssisənin informasiya sisteminin işləməsi ağlasığmaz olan məlumatların gündəlik ehtiyat nüsxəsi məlumatın bərpa olunmaz itkisi riskini minimuma endirir. Bundan əlavə, sadalanan təhdidlərdən qorunma üsulları yaxşı işlənmiş və geniş yayılmışdır. Buna görə də, məxfi məlumatlara icazəsiz giriş (NCD) ilə bağlı risklər ön plana çıxır.
İcazəsiz giriş reallıqdır
Bu gün məxfi məlumatları oğurlamaq üçün ən çox yayılmış üç üsul var. Birincisi, onun saxlanma və emal yerlərinə fiziki giriş. Burada bir çox variant var. Məsələn, təcavüzkarlar gecə bank ofisinə girib bütün verilənlər bazası olan sərt diskləri oğurlaya bilərlər. Hətta silahlı basqın da mümkündür, məqsədi pul deyil, məlumatdır. Ola bilsin ki, bank işçisi özü saxlama mühitini ərazidən kənara aparsın.
İkincisi, ehtiyat nüsxələrdən istifadə edin. Əksər banklarda mühüm məlumatların ehtiyat nüsxə sistemləri lent disklərinə əsaslanır. Yaratdıqları nüsxələri maqnit lentlərinə qeyd edirlər, sonra onlar ayrı yerdə saxlanılır. Onlara giriş daha yumşaq şəkildə tənzimlənir. Onların daşınması və saxlanması zamanı nisbətən çox sayda insan onların surətini çıxara bilər. Həssas məlumatların ehtiyat nüsxəsinin çıxarılması ilə bağlı riskləri qiymətləndirməmək olmaz. Məsələn, əksər ekspertlər əmindirlər ki, Rusiya Federasiyası Mərkəzi Bankının 2005-ci ildə satışa çıxarılan əməliyyatları haqqında məlumat bazaları məhz maqnit lentlərindən götürülmüş surətlər sayəsində oğurlanıb. Dünya praktikasında buna bənzər çoxlu hadisələr məlumdur. Xüsusilə, keçən sentyabr ayında kredit kartı provayderi olan Chase Card Services (JPMorgan Chase & Co.-nun bölməsi) əməkdaşları səhvən 2,6 milyon Circuit City kredit hesabı sahibinə dair məlumatların əks olunduğu ehtiyat nüsxələri olan beş maqnit lentini atıblar.
Üçüncüsü, məxfi məlumatların sızmasının ən çox ehtimal olunan yolu bank işçilərinin icazəsiz girişidir. Hüquqları ayırmaq üçün yalnız standart əməliyyat sistemi vasitələrindən istifadə edərkən, istifadəçilər çox vaxt dolayı yolla (müəyyən proqram təminatının köməyi ilə) işlədikləri verilənlər bazasını tamamilə köçürmək və şirkətdən kənara çıxarmaq imkanı əldə edirlər. Bəzən işçilər bunu heç bir zərərli niyyət olmadan, sadəcə olaraq evdə informasiya ilə işləmək üçün edirlər. Bununla belə, bu cür hərəkətlər təhlükəsizlik siyasətinin ciddi şəkildə pozulmasıdır və məxfi məlumatların ictimaiyyətə açıqlanmasına səbəb ola bilər (və edir!).
Bundan əlavə, hər hansı bir bankda yerli şəbəkədə imtiyazları yüksək olan bir qrup insan var. Söhbət sistem administratorlarından gedir. Bir tərəfdən, bu, öz rəsmi vəzifələrini yerinə yetirmək üçün lazımdır. Lakin, digər tərəfdən, onların istənilən məlumatı əldə etmək və “izlərini örtmək” imkanı var.
Beləliklə, bank məlumatlarının icazəsiz girişdən qorunması sistemi hər biri özünəməxsus təhlükələrdən qorunmanı təmin edən ən azı üç alt sistemdən ibarət olmalıdır. Bunlar məlumatlara fiziki girişdən qorunmaq üçün alt sistem, ehtiyat nüsxələrin təhlükəsizliyini təmin etmək üçün alt sistem və insayderlərdən qorunmaq üçün alt sistemdir. Onların heç birini laqeyd etməmək məsləhətdir, çünki hər bir təhlükə məxfi məlumatların açıqlanmasına səbəb ola bilər.
Banklarla bağlı qanun yoxdur?
Hal-hazırda bankların fəaliyyəti "Banklar və bank fəaliyyəti haqqında" federal qanunla tənzimlənir. O, digər şeylərlə yanaşı, “bank sirri” anlayışını təqdim edir. Buna əsasən, istənilən kredit təşkilatı müştəri depozitləri ilə bağlı bütün məlumatların məxfiliyini təmin etməyə borcludur. O, məlumatın sızması nəticəsində dəymiş zərərin ödənilməsi də daxil olmaqla, onların açıqlanmasına görə məsuliyyət daşıyır. Eyni zamanda, bank informasiya sistemlərinin təhlükəsizliyinə dair tələblər yoxdur. Bu o deməkdir ki, banklar kommersiya məlumatlarının mühafizəsi ilə bağlı bütün qərarları öz mütəxəssislərinin və ya üçüncü tərəf şirkətlərinin təcrübəsinə (məsələn, informasiya təhlükəsizliyi auditinin aparılması) əsaslanaraq müstəqil şəkildə qəbul edirlər. Yeganə tövsiyə Rusiya Federasiyası Mərkəzi Bankının “Rusiya Federasiyasının bank sistemi təşkilatlarının informasiya təhlükəsizliyinin təmin edilməsi” standartıdır. Ümumi müddəalar”. İlk dəfə 2004-cü ildə ortaya çıxdı və 2006-cı ildə yeni versiya qəbul edildi. Bu idarə sənədinin yaradılması və yekunlaşdırılması zamanı informasiya təhlükəsizliyi sahəsində mövcud Rusiya və beynəlxalq standartlardan istifadə edilmişdir.
Rusiya Federasiyasının Mərkəzi Bankı bunu yalnız digər banklara tövsiyə edə bilər, lakin məcburi həyata keçirilməsində israr edə bilməz. Bundan əlavə, standart spesifik məhsulların seçilməsinə rəhbərlik edən bir neçə aydın tələbləri ehtiva edir. Bu, şübhəsiz ki, vacibdir, lakin hazırda onun heç bir ciddi praktiki əhəmiyyəti yoxdur. Məsələn, sertifikatlaşdırılmış məhsullar haqqında belə deyir: “... məlumatı icazəsiz girişdən qorumaq üçün sertifikatlaşdırılmış və ya təsdiq edilmiş vasitələrdən istifadə edilə bilər.” Müvafiq siyahı yoxdur.
Standart həmçinin banklarda məlumatların mühafizəsinin kriptoqrafik vasitələrinə dair tələbləri sadalayır. Və burada artıq az-çox aydın tərif var: “CIPF... Rusiya Federasiyasının milli standartlarına, qarşı tərəflə müqavilənin şərtlərinə və (və ya) standartlara uyğun gələn alqoritmlər əsasında həyata keçirilməlidir. təşkilatın." Kriptoqrafik modulun GOST 28147-89-a uyğunluğu sertifikatlaşdırma yolu ilə təsdiqlənə bilər. Buna görə də, bir bankda şifrələmə sistemlərindən istifadə edərkən, Rusiya Federasiyasının FSB tərəfindən sertifikatlaşdırılmış proqram təminatı və ya aparat kriptoprovayderlərindən, yəni proqram təminatına qoşulan və şifrələmə prosesinin özünü həyata keçirən xarici modullardan istifadə etmək məqsədəuyğundur.
Keçən iyul ayında Rusiya Federasiyasının "Fərdi məlumatlar haqqında" Federal Qanunu qəbul edildi və 2007-ci il yanvarın 1-dən qüvvəyə mindi. Bəzi ekspertlər bunu bank təhlükəsizlik sistemləri üçün daha spesifik tələblərin yaranması ilə əlaqələndirdilər, çünki banklar şəxsi məlumatları emal edən təşkilatlardır. Lakin, sözsüz ki, ümumilikdə çox vacib olan qanunun özü bu gün praktikada tətbiq olunmur. Problem özəl məlumatların və onların icrasına nəzarət edə bilən orqanların qorunması üçün standartların olmamasıdır. Yəni məlum olur ki, banklar hazırda kommersiya informasiyasının mühafizə sistemlərini seçməkdə sərbəstdirlər.
Fiziki girişin qorunması
Banklar ənənəvi olaraq əməliyyat filiallarının, qiymətlilərin saxlanması şöbələrinin və s. fiziki təhlükəsizliyinə çox böyük diqqət yetirirlər. Bütün bunlar fiziki giriş vasitəsilə kommersiya məlumatlarına icazəsiz daxil olmaq riskini azaldır. Bununla belə, serverlərin yerləşdiyi bank ofisləri və texniki binalar adətən qorunma səviyyəsinə görə digər şirkətlərin ofislərindən fərqlənmir. Buna görə də təsvir olunan riskləri minimuma endirmək üçün kriptoqrafik qorunma sistemindən istifadə etmək lazımdır.
Bu gün bazarda məlumatları şifrələyən çoxlu sayda kommunal xidmətlər mövcuddur. Bununla belə, onların banklarda işlənməsinin xüsusiyyətləri müvafiq proqram təminatına əlavə tələblər qoyur. Birincisi, kriptoqrafik mühafizə sistemi şəffaf şifrələmə prinsipini həyata keçirməlidir. Onu istifadə edərkən əsas yaddaşdakı məlumatlar həmişə yalnız şifrələnmiş formada olur. Bundan əlavə, bu texnologiya məlumatlarla müntəzəm işləmək xərclərini minimuma endirməyə imkan verir. Onların hər gün şifrəsini açmaq və şifrələmək lazım deyil. Məlumata giriş serverdə quraşdırılmış xüsusi proqram təminatı vasitəsilə həyata keçirilir. O, məlumat əldə edildikdə avtomatik olaraq şifrəni açır və onu sabit diskinizə yazmazdan əvvəl şifrələyir. Bu əməliyyatlar birbaşa serverin operativ yaddaşında həyata keçirilir.
İkincisi, bank məlumat bazaları çox böyükdür. Beləliklə, kriptoqrafik məlumatların mühafizəsi sistemi virtual deyil, sabit disklərin real bölmələri, RAID massivləri və digər server saxlama vasitələri, məsələn, SAN yaddaşı ilə işləməlidir. Fakt budur ki, sistemə virtual disk kimi qoşula bilən konteyner faylları böyük həcmli məlumatlarla işləmək üçün nəzərdə tutulmayıb. Belə bir fayldan yaradılmış virtual disk böyük olduqda, hətta bir neçə nəfər tərəfindən eyni vaxtda daxil olduqda, məlumatın oxunması və yazılması sürətində əhəmiyyətli bir azalma müşahidə edə bilərsiniz. Böyük konteyner faylı olan bir neçə onlarla insanın işi sırf işgəncəyə çevrilə bilər. Bundan əlavə, nəzərə almalısınız ki, bu obyektlər viruslar, fayl sistemindəki nasazlıqlar və s. Axı, mahiyyətcə, onlar adi fayllardır, lakin ölçüləri olduqca böyükdür. Və hətta onlardakı cüzi bir dəyişiklik də ondakı bütün məlumatları deşifrə etməyi qeyri-mümkün edə bilər. Bu məcburi tələblərin hər ikisi mühafizənin həyata keçirilməsi üçün uyğun olan məhsulların çeşidini əhəmiyyətli dərəcədə daraldır. Əslində, bu gün Rusiya bazarında yalnız bir neçə belə sistem var.
Kriptoqrafik məlumatların qorunması üçün server sistemlərinin texniki xüsusiyyətlərini ətraflı nəzərdən keçirməyə ehtiyac yoxdur, çünki əvvəlki sayların birində biz bu məhsulları artıq müqayisə etmişik. (Stolyarov N., Davletxanov M. UTM qorunması.) Amma banklar üçün mövcudluğu arzu olunan belə sistemlərin bəzi xüsusiyyətlərini qeyd etmək lazımdır. Birincisi, istifadə olunan kriptoqrafik modulun artıq qeyd olunan sertifikatı ilə bağlıdır. Əksər banklar artıq müvafiq proqram və ya aparata malikdirlər. Buna görə də server əsaslı informasiya təhlükəsizliyi sistemi onların qoşulması və istifadəsi imkanlarını təmin etməlidir. İnformasiya təhlükəsizliyi sistemi üçün ikinci xüsusi tələb ofis və/və ya server otağının fiziki təhlükəsizlik sisteminə inteqrasiya imkanıdır. Bu, məlumatı oğurluq, sındırma və s. ilə əlaqəli icazəsiz girişdən qorumağa imkan verir.
Banklar məlumatların təhlükəsizliyinə xüsusi diqqət yetirməlidirlər, çünki bu, əslində müştərilərin puludur. Buna görə də mühafizə sistemi onun itirilməsi riskini minimuma endirən xüsusi imkanlara malik olmalıdır. Ən çox diqqət çəkənlərdən biri sabit diskdə pis sektorların aşkarlanması funksiyasıdır. Bundan əlavə, ilkin disk şifrələməsi, şifrənin açılması və yenidən şifrələmə proseslərinin dayandırılması və ləğv edilməsi imkanı böyük əhəmiyyət kəsb edir. Bunlar kifayət qədər uzun prosedurlardır, hər hansı bir uğursuzluq bütün məlumatların tamamilə itirilməsi ilə təhdid edir.
İnsan amili məxfi məlumatlara icazəsiz girişlə bağlı risklərə çox böyük təsir göstərir. Buna görə də arzu olunandır ki, təhlükəsizlik sistemi bu cür birləşmələri azaltmağa qadir olsun. Bu, şifrələmə açarlarını saxlamaq üçün etibarlı vasitələrdən - smart kartlardan və ya USB açarlardan istifadə etməklə əldə edilir. Bu tokenlərin məhsula daxil edilməsi optimaldır, bu, yalnız xərcləri optimallaşdırmağa imkan vermir, həm də proqram təminatı və aparatın tam uyğunluğunu təmin edir.
Təhlükəsizlik sisteminin etibarlılığına insan amilinin təsirini minimuma endirməyə imkan verən digər vacib funksiya əsas kvorumdur. Onun mahiyyəti şifrələmə açarını bir neçə hissəyə bölməkdir, hər biri bir məsul işçinin istifadəsinə verilir. Qapalı sürücüyü birləşdirmək üçün müəyyən sayda hissə tələb olunur. Üstəlik, bu, əsas hissələrin ümumi sayından az ola bilər. Bu yanaşma məlumatları məsul işçilər tərəfindən sui-istifadədən qorumağa imkan verir, həmçinin bankın işi üçün lazım olan çevikliyi təmin edir.
Ehtiyat qoruma
Bankda saxlanılan bütün məlumatların müntəzəm olaraq ehtiyat nüsxəsinin çıxarılması mütləq zəruri tədbirdir. Viruslar tərəfindən məlumatların pozulması, aparat çatışmazlığı və s. kimi problemlər zamanı itkiləri əhəmiyyətli dərəcədə azaltmağa imkan verir. Ancaq eyni zamanda, icazəsiz girişlə bağlı riskləri artırır. Təcrübə göstərir ki, ehtiyat nüsxələrin qeydə alındığı media server otağında deyil, başqa otaqda və ya hətta binada saxlanmalıdır. Əks halda, yanğın və ya digər ciddi insident baş verərsə, həm məlumatların özü, həm də onun arxivləri geri qaytarıla bilməyəcək şəkildə itirilə bilər. Ehtiyat nüsxələri icazəsiz istifadədən etibarlı şəkildə qorumaq yalnız kriptoqrafiyanın köməyi ilə mümkündür. Bu halda, şifrləmə açarını evdə saxlamaqla təhlükəsizlik işçisi arxivləri olan medianı təhlükəsiz şəkildə texniki işçilərə ötürə bilər.
Ehtiyat nüsxələrin kriptoqrafik mühafizəsinin təşkilində əsas çətinlik məlumatların arxivləşdirilməsini idarə etmək üçün məsuliyyətlərin ayrılması ehtiyacıdır. Sistem inzibatçısı və ya digər texniki işçi ehtiyat prosesini özü qurmalı və həyata keçirməlidir. Məlumatın şifrələnməsini məsul işçi - təhlükəsizlik işçisi idarə etməlidir. Anlamaq lazımdır ki, əksər hallarda rezervasiyalar avtomatik həyata keçirilir. Bu problem yalnız ehtiyat idarəetmə sistemi ilə məlumatları qeyd edən qurğular (streamerlər, DVD diskləri və s.) arasında kriptoqrafik mühafizə sistemini “qurmaqla” həll edilə bilər.
Beləliklə, kriptoqrafik məhsulların banklarda istifadə edilməsi üçün onlar həm də yaddaş daşıyıcılarında ehtiyat nüsxələrin yazılması üçün istifadə olunan müxtəlif qurğularla işləməyi bacarmalıdırlar: lent yazıcıları, CD və DVD diskləri, çıxarıla bilən sərt disklər və s.
Bu gün ehtiyat nüsxələrə icazəsiz girişlə bağlı riskləri minimuma endirmək üçün nəzərdə tutulmuş üç növ məhsul var. Birinciyə xüsusi qurğular daxildir. Bu cür aparat həlləri məlumatın etibarlı şifrələnməsi və yüksək sürət də daxil olmaqla bir çox üstünlüklərə malikdir. Bununla belə, onların banklarda istifadəsinə mane olan üç əhəmiyyətli çatışmazlıq var. Birincisi: çox yüksək qiymət (on minlərlə dollar). İkincisi: Rusiyaya idxalla bağlı mümkün problemlər (unutmaq olmaz ki, biz kriptoqrafik vasitələrdən danışırıq). Üçüncü çatışmazlıq xarici sertifikatlı kripto provayderləri onlara qoşmaq mümkün olmamasıdır. Bu lövhələr yalnız aparat səviyyəsində onlarda həyata keçirilən şifrələmə alqoritmləri ilə işləyir.
Ehtiyat kriptoqrafik mühafizə sistemlərinin ikinci qrupu ehtiyat proqram təminatı və aparat tərtibatçılarının öz müştərilərinə təklif etdiyi modullardan ibarətdir. Onlar bu sahədə bütün ən tanınmış məhsullar üçün mövcuddur: ArcServe, Veritas Backup Exec və s. Düzdür, onların da öz xüsusiyyətləri var. Əsas odur ki, yalnız “sizin” proqram təminatınız və ya diskinizlə işləməkdir. Bu arada bankın informasiya sistemi daim təkmilləşir. Və ola bilər ki, ehtiyat sisteminin dəyişdirilməsi və ya genişləndirilməsi mühafizə sisteminin dəyişdirilməsi üçün əlavə xərclər tələb edə bilər. Bundan əlavə, bu qrupdakı məhsulların əksəriyyəti köhnə, yavaş şifrələmə alqoritmlərini (məsələn, 3DES) tətbiq edir, əsas idarəetmə alətləri yoxdur və xarici kripto provayderləri bağlamaq imkanı yoxdur.
Bütün bunlar bizi üçüncü qrupdan olan ehtiyat nüsxələrin kriptoqrafik mühafizə sistemlərinə ciddi diqqət yetirməyə məcbur edir. Buraya xüsusi məlumat arxivləşdirmə sistemləri ilə bağlı olmayan xüsusi hazırlanmış proqram təminatı, aparat və proqram məhsulları daxildir. Onlar bankın bütün filialları da daxil olmaqla, bankın bütün ərazisində istifadə etməyə imkan verən geniş çeşidli məlumatların qeydə alınması cihazlarını dəstəkləyir. Bu, istifadə olunan qoruyucu vasitələrin vahidliyini təmin edir və əməliyyat xərclərini minimuma endirir.
Bununla belə, qeyd etmək lazımdır ki, bütün üstünlüklərinə baxmayaraq, bazarda üçüncü qrupdan olan məhsullar çox azdır. Bu, çox güman ki, kriptoqrafik ehtiyat mühafizə sistemlərinə böyük tələbatın olmaması ilə bağlıdır. Bankların və digər iri təşkilatların rəhbərliyi kommersiya məlumatlarının arxivləşdirilməsi ilə bağlı risklərin reallığını dərk edən kimi bu bazarda oyunçuların sayı artacaq.
İnsayderlərdən qorunma
İllik CSI/FBI Kompüter Cinayətləri və Təhlükəsizliyi Sorğusu kimi informasiya təhlükəsizliyi sahəsində son tədqiqatlar göstərdi ki, əksər təhdidlərdən şirkətlərin maliyyə itkiləri ildən-ilə azalır. Bununla belə, itkilərin artdığı bir sıra risklər var. Onlardan biri xidməti vəzifələrini yerinə yetirmək üçün kommersiya məlumatlarına çıxışı zəruri olan işçilər tərəfindən məxfi məlumatların qəsdən oğurlanması və ya onlarla işləmə qaydalarının pozulmasıdır. Onlara insayderlər deyilir.
Əksər hallarda məxfi məlumatların oğurlanması mobil mediadan istifadə etməklə həyata keçirilir: CD və DVD-lər, ZIP cihazları və ən əsası bütün növ USB disklər. Məhz onların kütləvi şəkildə yayılması bütün dünyada insayderliyin çiçəklənməsinə səbəb oldu. Əksər bankların rəhbərləri, məsələn, onların müştərilərinin şəxsi məlumatlarının yer aldığı məlumat bazası və ya üstəlik, onların hesabları üzrə əməliyyatlar cinayət strukturlarının əlinə keçərsə, yarana biləcək təhlükələri yaxşı bilirlər. Və əllərində olan təşkilati üsullardan istifadə edərək mümkün məlumat oğurluğu ilə mübarizə aparmağa çalışırlar.
Lakin bu halda təşkilati üsullar səmərəsizdir. Bu gün siz miniatür fləş, mobil telefon, mp3 pleyer, rəqəmsal kameradan istifadə edərək kompüterlər arasında məlumat ötürülməsini təşkil edə bilərsiniz... Əlbəttə ki, bütün bu cihazların ofisə gətirilməsini qadağan etməyə cəhd edə bilərsiniz, lakin bu, ilk növbədə, işçilərlə münasibətlərə mənfi təsir göstərəcək , ikincisi, insanlar üzərində həqiqətən effektiv nəzarət yaratmaq hələ də çox çətindir - bank "poçt qutusu" deyil. Və hətta kompüterlərdə xarici mediaya (FDD və ZIP sürücüləri, CD və DVD sürücüləri və s.) və USB portlarına məlumat yazmaq üçün istifadə edilə bilən bütün cihazları söndürmək də kömək etməyəcək. Axı, birincisi iş üçün lazımdır, ikincisi isə müxtəlif periferik qurğulara qoşulur: printerlər, skanerlər və s. Və heç kim bir insanın printeri söndürməsinə, pulsuz porta fləş sürücüsünü daxil etməsinə və ona vacib məlumatları köçürməsinə bir dəqiqə mane ola bilməz. Əlbəttə ki, özünüzü qorumaq üçün orijinal yollar tapa bilərsiniz. Məsələn, bir bank problemi həll etməyin bu üsulunu sınadı: USB portu və kabelin qovşağını epoksi qatranla doldurdular, sonuncunu kompüterə möhkəm "bağladılar". Ancaq xoşbəxtlikdən, bu gün daha müasir, etibarlı və çevik nəzarət üsulları var.
İnsayderlərlə bağlı riskləri minimuma endirməyin ən təsirli vasitəsi məlumatın surətini çıxarmaq üçün istifadə oluna bilən bütün cihazları və kompüter portlarını dinamik şəkildə idarə edən xüsusi proqram təminatıdır. Onların iş prinsipi aşağıdakı kimidir. Hər bir istifadəçi qrupu və ya hər bir istifadəçi üçün ayrı-ayrılıqda müxtəlif port və cihazlardan istifadə etmək icazələri təyin edilir. Bu cür proqram təminatının ən böyük üstünlüyü çeviklikdir. Siz cihazların xüsusi növləri, onların modelləri və fərdi nümunələr üçün məhdudiyyətlər daxil edə bilərsiniz. Bu, çox mürəkkəb giriş hüquqlarının paylanması siyasətlərini həyata keçirməyə imkan verir.
Məsələn, bəzi işçilərə USB portlarına qoşulmuş hər hansı printer və ya skanerdən istifadə etməyə icazə verə bilərsiniz. Bununla belə, bu porta daxil edilmiş bütün digər cihazlar əlçatmaz qalacaq. Əgər bank tokenlərə əsaslanan istifadəçi autentifikasiya sistemindən istifadə edirsə, onda parametrlərdə istifadə olunan açar modelini təyin edə bilərsiniz. Sonra istifadəçilərə yalnız şirkət tərəfindən satın alınan cihazlardan istifadə etməyə icazə veriləcək, qalanların hamısı yararsız olacaq.
Yuxarıda təsvir edilən mühafizə sistemlərinin işləmə prinsipinə əsaslanaraq, qeyd cihazlarının və kompüter portlarının dinamik bloklanmasını həyata keçirən proqramları seçərkən hansı məqamların vacib olduğunu başa düşə bilərsiniz. Birincisi, çox yönlüdür. Mühafizə sistemi mümkün portların və giriş/çıxış cihazlarının bütün spektrini əhatə etməlidir. Əks halda, kommersiya məlumatlarının oğurlanması riski qəbuledilməz dərəcədə yüksək olaraq qalır. İkincisi, sözügedən proqram təminatı çevik olmalıdır və cihazlar haqqında çoxlu sayda müxtəlif məlumatlardan istifadə edərək qaydalar yaratmağa imkan verməlidir: onların növləri, model istehsalçıları, hər bir nümunədə olan unikal nömrələr və s. Üçüncüsü, insayderin mühafizəsi sistemi bankın informasiya sistemi ilə, xüsusən Active Directory ilə inteqrasiya edə bilməlidir. Əks halda, administrator və ya təhlükəsizlik işçisi istifadəçilərin və kompüterlərin iki məlumat bazasını saxlamalı olacaq ki, bu da nəinki əlverişsizdir, həm də xəta riskini artırır.
Gəlin ümumiləşdirək
Beləliklə, bu gün bazarda istənilən bankın məlumatı icazəsiz daxil olmaqdan və sui-istifadədən qorumaq üçün etibarlı sistem təşkil edə biləcəyi məhsullar var. Düzdür, onları seçərkən çox diqqətli olmaq lazımdır. İdeal olaraq, bu, müvafiq səviyyəli daxili mütəxəssislər tərəfindən həyata keçirilməlidir. Üçüncü tərəf şirkətlərinin xidmətlərindən istifadəyə icazə verilir. Ancaq bu vəziyyətdə, bankın adekvat proqram təminatı ilə deyil, təchizatçı şirkət üçün faydalı olanı məharətlə tətbiq etdiyi bir vəziyyət mümkündür. Bundan əlavə, informasiya təhlükəsizliyi konsaltinqinin daxili bazarı ilkin mərhələdədir.
Bu arada, düzgün seçim etmək heç də çətin deyil. Sadaladığımız meyarlarla silahlanmaq və təhlükəsizlik sistemləri bazarını diqqətlə öyrənmək kifayətdir. Ancaq burada yadda saxlamaq lazım olan bir tələ var. İdeal olaraq, bankın informasiya təhlükəsizliyi sistemi vahid olmalıdır. Yəni, bütün alt sistemlər mövcud informasiya sisteminə inteqrasiya olunmalı və üstünlük verilən halda ümumi idarəetməyə malik olmalıdır. Əks halda, mühafizənin idarə edilməsi üçün əmək xərclərinin artması və idarəetmə səhvləri səbəbindən artan risklər qaçılmazdır. Buna görə də, bu gün təsvir edilən hər üç müdafiə alt sistemini qurmaq üçün bir tərtibatçı tərəfindən buraxılan məhsulları seçmək daha yaxşıdır. Bu gün Rusiyada bank məlumatlarını icazəsiz girişdən qorumaq üçün lazım olan hər şeyi yaradan şirkətlər var.
Məlumat bankı istənilən avtomatlaşdırılmış sistemin bir hissəsidir, məsələn, CAD, avtomatlaşdırılmış idarəetmə sistemi, prosesə nəzarət sistemi və s. Məlumat bankının vəzifəsi informasiya modelini son dərəcə vacib vəziyyətdə saxlamaq və istifadəçi tələblərini yerinə yetirməkdir. Bunun üçün məlumat bankında üç əməliyyatın yerinə yetirilməsi tələb olunur: daxil etmək, silmək, dəyişdirmək. Bu əməliyyatlar məlumatların saxlanmasını və dəyişdirilməsini təmin edir.
Avtomatlaşdırılmış sistemin inkişafı ilə predmet sahəsində obyektlərin tərkibi dəyişir, onlar arasında əlaqələr dəyişir. Bütün bunlar informasiya sistemində öz əksini tapmalıdır. Beləliklə, məlumat bankının təşkili çevik olmalıdır. Məlumat bankının avtomatlaşdırılmış sistemdəki yerini göstərəcəyik.
Məlumat bankını tərtib edərkən, istifadəçi sorğularının dəstəklənməsinin iki aspektini nəzərə almaq son dərəcə vacibdir.
1) Konkret predmet sahəsinin sərhədlərinin müəyyən edilməsi və informasiya modelinin işlənib hazırlanması. Qeyd edək ki, məlumat bankı onun inkişafını nəzərə alaraq bütün sistemə həm indi, həm də gələcəkdə məlumat verməlidir.
2) Məlumat bankının inkişafı istifadəçilərin sorğularına effektiv xidmət göstərməyə yönəldilməlidir. Bu baxımdan, istifadəçi sorğularının növlərini və növlərini təhlil etmək son dərəcə vacibdir. Bu bankın məlumat mənbəyi olacağı avtomatlaşdırılmış sistemin funksional vəzifələrinin təhlili də son dərəcə vacibdir.
Məlumat bankının istifadəçiləri aşağıdakı xüsusiyyətlərə görə fərqlənirlər:
· bankla daimi ünsiyyətə əsaslanır.
İstifadəçilər : daimi Və birdəfəlik ;
· klirens səviyyəsinə görə. Bəzi məlumatlar qorunmalıdır;
· sorğunun verilməsi formasına uyğun olaraq. Sorğular proqramçılar, proqramçı olmayanlar və ya tapşırıq istifadəçiləri tərəfindən edilə bilər.
İstifadəçilərin böyük heterojenliyinə görə məlumat bankı bütün sorğuları vahid terminologiyaya çatdırmağa imkan verən xüsusi alət təqdim edir. Bu vasitə adətən adlanır məlumat lüğəti.
Vurğulayaq əsas tələblər hansı cavab verilməlidir xarici istifadəçilərin məlumat bankı . Məlumat bankı aşağıdakıları etməlidir:
1. Böyük həcmli çoxölçülü məlumatların saxlanması və dəyişdirilməsi imkanını təmin edin. Mövcud və yeni yaranan istifadəçi tələblərinə cavab verin.
Saxlanılan məlumatın müəyyən edilmiş etibarlılıq və ardıcıllıq səviyyələrini təmin edin.
3. Məlumatlara girişi yalnız müvafiq səlahiyyətə malik olan istifadəçilərə təmin edin.
4. İxtiyari əlamətlər qrupuna əsaslanaraq məlumat axtarmaq bacarığını təmin edin.
5. Sorğuları emal edərkən müəyyən edilmiş performans tələblərinə cavab verin.
6. Mövzu sahəsinin sərhədləri dəyişdikdə yenidən təşkil və genişləndirməyi bacarın.
7. İstifadəçiyə müxtəlif formalarda məlumat vermək.
8. Çoxlu sayda xarici istifadəçilərə eyni vaxtda xidmət göstərmək imkanı təmin etmək.
Bu tələblərə cavab vermək üçün mərkəzləşdirilmiş məlumat idarəetməsini tətbiq etmək vacibdir.
Vurğulayaq mərkəzləşdirilmiş idarəetmənin əsas üstünlükləri əvvəllər istifadə edilmiş girovla müqayisədə məlumatlar.
1) Saxlanılan məlumatların artıqlığının azaldılması. Bir neçə proqram tərəfindən istifadə edilən məlumatlar strukturlaşdırılır (inteqrasiya edilir) və bir nüsxədə saxlanılır.
2) Saxlanılan məlumatlarda uyğunsuzluqların aradan qaldırılması. Məlumatların artıqlığı olmadığına görə, məlumatlar faktiki olaraq dəyişdirildikdə, bütün qeydlərdə dəyişdirilməmiş kimi görünən vəziyyət aradan qaldırılır.
3) Məlumatların bir dəfə daxil edilərkən çoxölçülü istifadəsi.
4) İstifadəçi tələblərinin təhlili əsasında hərtərəfli optimallaşdırma. Ən yaxşı xidməti təmin edən məlumat strukturları seçilir.
5) Standartlaşdırmanın mümkünlüyünün təmin edilməsi. Bu, digər avtomatlaşdırılmış sistemlərlə məlumat mübadiləsini, həmçinin məlumatlara nəzarət və bərpa prosedurlarını asanlaşdırır.
6) Məlumatlara səlahiyyətli giriş imkanının təmin edilməsi, ᴛ.ᴇ. məlumatların mühafizəsi mexanizmlərinin mövcudluğu.
Vurğulamaq lazımdır ki, məlumatların mərkəzləşdirilmiş idarə edilməsinin əsas problemi tətbiqi proqramların verilənlərdən müstəqilliyinin təmin edilməsidir. Bu onunla izah olunur ki, verilənlərin inteqrasiyası və verilənlər strukturlarının optimallaşdırılması saxlanılan məlumatların təqdimatında və verilənlərə çıxış metodunda dəyişikliklər tələb edir.
Nəticə: Məlumat bankının əsas fərqləndirici xüsusiyyəti məlumatların mərkəzləşdirilmiş idarə edilməsinin olmasıdır.
Fəsil 1. Bankların informasiya təhlükəsizliyinin xüsusiyyətləri.
Rosstandartın 28 mart 2018-ci il tarixli 156-st “Rusiya Federasiyasının milli standartının təsdiq edilməsi haqqında” əmri.
Rosstandartın 8 avqust 2017-ci il tarixli 822-st "Rusiya Federasiyasının milli standartının təsdiq edilməsi haqqında" əmri.
Standartın tətbiqinin əsas məqsədləri "Rusiya Federasiyasının bank sisteminin təşkilatlarının informasiya təhlükəsizliyinin təmin edilməsi. Ümumi müddəalar" STO BR IBBS-1.0 (bundan sonra Standart adlandırılacaq):
- Rusiya Federasiyasının bank sisteminə inamın artırılması;
- Rusiya Federasiyasının bank sisteminin təşkilatlarının fəaliyyətinin sabitliyinin artırılması və bu əsasda bütövlükdə Rusiya Federasiyasının bank sisteminin fəaliyyətinin sabitliyi;
- informasiya təhlükəsizliyinə real təhlükələrdən qorunmaq üçün tədbirlərin adekvatlığına nail olmaq;
- informasiya təhlükəsizliyi insidentlərinin qarşısının alınması və/və ya zərərin azaldılması.
Standartın əsas məqsədləri:
- Rusiya Federasiyasının bank sisteminin təşkilatlarının informasiya təhlükəsizliyinin təmin edilməsi üçün vahid tələblərin müəyyən edilməsi;
- Rusiya Federasiyasının bank sisteminin təşkilatlarının məlumat təhlükəsizliyini təmin etmək və qorumaq üçün tədbirlərin səmərəliliyinin artırılması.
Elektron ödəniş İnternet sistemlərində məlumatların mühafizəsi
İnternet ödəniş sistemiİnternet vasitəsilə mal və xidmətlərin alqı-satqısı prosesində maliyyə, biznes təşkilatları və internet istifadəçiləri arasında ödənişlərin aparılması sistemidir. Sifariş emalı xidmətini və ya elektron vitrinini bütün standart atributlara malik tam hüquqlu mağazaya çevirməyə imkan verən ödəniş sistemidir: satıcının saytında məhsul və ya xidməti seçməklə alıcı mağazadan çıxmadan ödəniş edə bilər. kompüter.
Elektron ticarət sistemində ödənişlər bir sıra şərtlərə uyğun olaraq həyata keçirilir:
1. Məxfiliyin qorunması. İnternet vasitəsilə ödənişlər edərkən, alıcı onun məlumatlarının (məsələn, kredit kartı nömrəsi) yalnız qanuni hüququ olan təşkilatlara məlum olmasını istəyir.
2. İnformasiyanın bütövlüyünün saxlanılması. Satınalma məlumatları heç kim tərəfindən dəyişdirilə bilməz.
3. Doğrulama. Alıcılar və satıcılar əmin olmalıdırlar ki, əməliyyatda iştirak edən bütün tərəflər onların dedikləri şəxsdir.
4. Ödəniş vasitələri. Alıcının ixtiyarında olan istənilən ödəniş vasitəsi ilə ödəmə imkanı.
6. Satıcının risk zəmanətləri. İnternetdə ticarət edərkən satıcı məhsuldan imtina və alıcının vicdansızlığı ilə bağlı bir çox risklərə məruz qalır. Risklərin miqyası ödəniş sisteminin provayderi və ticarət zəncirinə daxil olan digər təşkilatlarla xüsusi razılaşmalar vasitəsilə razılaşdırılmalıdır.
7. Əməliyyat haqlarının minimuma endirilməsi. Malların sifarişi və ödənilməsi üçün əməliyyatların icrası haqları təbii olaraq onların qiymətinə daxildir, ona görə də əməliyyat qiymətinin aşağı salınması rəqabət qabiliyyətini artırır. Qeyd etmək lazımdır ki, alıcı maldan imtina etsə belə, əməliyyat istənilən halda ödənilməlidir.
Bütün bu şərtlər mahiyyət etibarilə ənənəvi ödəniş sistemlərinin elektron versiyaları olan İnternet ödəniş sistemində həyata keçirilməlidir.
Beləliklə, bütün ödəniş sistemləri aşağıdakılara bölünür:
Debet (elektron çeklər və rəqəmsal nağd pulla işləmək);
Kredit (kredit kartları ilə işləmək).
Debet sistemləri
Debet ödəniş sxemləri onların oflayn prototiplərinə bənzər şəkildə qurulur: çek və adi pul. Sxem iki müstəqil tərəfi əhatə edir: emitentlər və istifadəçilər. Emitent ödəniş sistemini idarə edən qurum kimi başa düşülür. O, ödənişləri təmsil edən bəzi elektron vahidlər buraxır (məsələn, bank hesablarında olan pullar).
Rusiya Federasiyasının bank sisteminin təşkilatlarının məlumat təhlükəsizliyi
Sistem istifadəçiləri iki əsas funksiyanı yerinə yetirirlər. Onlar buraxılmış elektron vahidlərdən istifadə edərək İnternetdə ödənişlər edir və qəbul edirlər.
Elektron çeklər adi kağız çeklərə bənzəyir. Bu, ödəyicinin öz hesabından pulu alanın hesabına köçürmək üçün öz bankına verdiyi göstərişlərdir. Əməliyyat çeki alan şəxs tərəfindən bankda təqdim edildikdə baş verir. Burada iki əsas fərq var. Birincisi, kağız çek yazarkən ödəyici öz həqiqi imzasını, onlayn versiyada isə elektron imza qoyur. İkincisi, çeklərin özləri elektron qaydada verilir.
Ödənişlər bir neçə mərhələdə həyata keçirilir:
1. Ödəyici elektron çek verir, onu elektron imza ilə imzalayır və çeki alan şəxsə ötürür. Daha çox etibarlılıq və təhlükəsizlik üçün yoxlama hesabının nömrəsi bankın açıq açarı ilə şifrələnə bilər.
2. Çek ödəniş sisteminə təqdim olunur. Sonra (ya burada, ya da alıcıya xidmət göstərən bankda) elektron imza yoxlanılır.
3. Onun həqiqiliyi təsdiq edildikdə, mallar çatdırılır və ya xidmət göstərilir. Pul ödəyicinin hesabından alıcının hesabına köçürülür.
Ödəniş sxeminin sadəliyi (şək. 43), təəssüf ki, yoxlama sxemlərinin hələ geniş yayılmaması və elektron imzanın tətbiqi üçün sertifikatlaşdırma mərkəzlərinin olmaması səbəbindən onun həyata keçirilməsinin çətinlikləri ilə kompensasiya olunur.
Elektron rəqəmsal imza (EDS) açıq açar şifrələmə sistemindən istifadə edir. Bu, imzalanma üçün şəxsi açar və yoxlama üçün açıq açar yaradır. Şəxsi açar istifadəçi tərəfindən saxlanılır və açıq açara hər kəs daxil ola bilər. Açıq açarları yaymağın ən əlverişli yolu sertifikatlaşdırma orqanlarından istifadə etməkdir. Orada açıq açarı və sahibi haqqında məlumatları ehtiva edən rəqəmsal sertifikatlar saxlanılır. Bu, istifadəçini açıq açarını özü yaymaq öhdəliyindən azad edir. Bundan əlavə, sertifikat orqanları heç kimin başqa bir şəxsin adından açarlar yarada bilməməsini təmin etmək üçün autentifikasiya təmin edir.
Elektron pul real pulu tamamilə simulyasiya edir. Eyni zamanda, emitent təşkilat - emitent - müxtəlif sistemlərdə fərqli adlanan elektron analoqlarını buraxır (məsələn, kuponlar). Bundan sonra, onlar istifadəçilər tərəfindən satın alınır, onlardan alışların ödənişi üçün istifadə olunur və sonra satıcı onları emitentdən geri alır. Buraxıldıqda, hər bir pul vahidi elektron möhürlə təsdiqlənir və bu, geri qaytarılmadan əvvəl emitent struktur tərəfindən təsdiqlənir.
Fiziki pulların xüsusiyyətlərindən biri də onun anonimliyidir, yəni kimlərin nə vaxt istifadə etdiyini göstərmir. Bəzi sistemlər, bənzətmə ilə, alıcıya elektron nağd pulu almağa imkan verir ki, onunla pul arasında əlaqə müəyyən edilə bilməz. Bu, kor imza sxemindən istifadə etməklə həyata keçirilir.
Onu da qeyd etmək lazımdır ki, elektron puldan istifadə edərkən autentifikasiyaya ehtiyac yoxdur, çünki sistem pulun istifadə olunmazdan əvvəl dövriyyəyə buraxılmasına əsaslanır.
Şəkil 44 elektron puldan istifadə etməklə ödəniş sxemini göstərir.
Ödəniş mexanizmi aşağıdakı kimidir:
1. Alıcı əvvəlcədən real pulu elektron pula dəyişir. Müştəri ilə nağd pulun saxlanması istifadə olunan sistem tərəfindən müəyyən edilən iki yolla həyata keçirilə bilər:
Kompüterinizin sabit diskində;
Smart kartlarda.
Fərqli sistemlər müxtəlif mübadilə sxemləri təklif edir. Bəziləri elektron hesablar müqabilində alıcının hesabından vəsaitlərin köçürüldüyü xüsusi hesablar açır. Bəzi banklar özləri elektron nağd pul buraxa bilərlər. Üstəlik, o, yalnız müştərinin istəyi ilə verilir, ardınca bu müştərinin kompüterinə və ya kartına köçürülür və onun hesabından nağd pul ekvivalenti çıxarılır. Kor imza tətbiq edərkən, alıcı özü elektron hesablar yaradır, banka göndərir, hesaba real pul daxil olduqda, onlar möhürlə təsdiqlənir və müştəriyə geri göndərilir.
Belə saxlama rahatlığı ilə yanaşı, onun mənfi cəhətləri də var. Diskin və ya smart kartın zədələnməsi elektron pulun geri dönməz itkisi ilə nəticələnir.
2. Alıcı alış üçün elektron pulu satıcının serverinə köçürür.
3. Pul onun həqiqiliyini yoxlayan emitentə təqdim edilir.
4. Elektron hesablar orijinaldırsa, satıcının hesabı alış məbləği qədər artırılır və mallar alıcıya göndərilir və ya xidmət göstərilir.
Elektron pulun mühüm fərqləndirici xüsusiyyətlərindən biri mikroödənişlər etmək imkanıdır. Bu onunla bağlıdır ki, əskinasların nominal dəyəri real sikkələrə (məsələn, 37 qəpik) uyğun gəlməyə bilər.
Həm banklar, həm də qeyri-bank təşkilatları elektron nağd pul buraxa bilər. Bununla belə, müxtəlif növ elektron pulların konvertasiyası üçün vahid sistem hələ hazırlanmayıb. Beləliklə, yalnız emitentlərin özləri buraxdıqları elektron nağd pulları geri ala bilərlər. Bundan əlavə, qeyri-maliyyə strukturlarından bu cür pulların istifadəsi dövlət tərəfindən təmin edilmir. Bununla belə, aşağı əməliyyat dəyəri elektron nağd pulu onlayn ödənişlər üçün cəlbedici alətə çevirir.
Kredit sistemləri
İnternet kredit sistemləri kredit kartları ilə işləyən adi sistemlərin analoqlarıdır. Fərq ondadır ki, bütün əməliyyatlar internet vasitəsilə həyata keçirilir və nəticədə əlavə təhlükəsizlik və autentifikasiya tədbirlərinə ehtiyac yaranır.
Kredit kartlarından istifadə edərək İnternet vasitəsilə ödənişlərin həyata keçirilməsinə aşağıdakılar daxildir:
1. Alıcı. Veb brauzeri və İnternetə çıxışı olan kompüteri olan müştəri.
2. Emitent bank. Alıcının bank hesabı burada yerləşir. Emitent bank kartları buraxır və müştərinin maliyyə öhdəliklərinin təminatçısıdır.
3. Satıcılar. Satıcılar mal və xidmətlərin kataloqlarının saxlanıldığı və müştərinin satınalma sifarişlərinin qəbul edildiyi Elektron Ticarət serverləri kimi başa düşülür.
4. Ekvayring banklar. Satıcılara xidmət göstərən banklar. Hər bir satıcının cari hesabını saxladığı bir bankı var.
5. İnternet ödəniş sistemi. Digər iştirakçılar arasında vasitəçi kimi çıxış edən elektron komponentlər.
6. Ənənəvi ödəniş sistemi. Bu tip kartlara xidmət göstərmək üçün maliyyə və texnoloji vasitələrin toplusu. Ödəniş sisteminin həll etdiyi əsas vəzifələr sırasında kartlardan mal və xidmətlərə görə ödəniş vasitəsi kimi istifadənin təmin edilməsi, bank xidmətlərindən istifadə, qarşılıqlı hesablaşmaların aparılması və s. Ödəniş sisteminin iştirakçıları kredit kartlarından istifadə etməklə birləşmiş fiziki və hüquqi şəxslərdir.
7. Ödəniş sisteminin prosessinq mərkəzi. Ənənəvi ödəniş sistemində iştirakçılar arasında informasiya və texnoloji qarşılıqlı əlaqəni təmin edən təşkilat.
8. Ödəniş sisteminin hesablaşma bankı. prosessinq mərkəzi adından ödəniş sisteminin iştirakçıları arasında qarşılıqlı hesablaşmaları həyata keçirən kredit təşkilatı.
Belə bir sistemdə ümumi ödəniş sxemi Şəkil 45-də göstərilmişdir.
1. Elektron mağazada alıcı mal səbəti yaradır və ödəniş üsulunu “kredit kartı” seçir.
Mağaza vasitəsilə, yəni kart parametrləri birbaşa mağazanın veb saytına daxil edilir, bundan sonra onlar İnternet ödəmə sisteminə köçürülür (2a);
Ödəniş sisteminin serverində (2b).
İkinci yolun üstünlükləri göz qabağındadır.
Bu zaman kartlar haqqında məlumat mağazada qalmır və müvafiq olaraq onların üçüncü şəxslər tərəfindən alınması və ya satıcı tərəfindən aldadılması riski azalır. Hər iki halda, kredit kartı təfərrüatlarını köçürərkən, onların şəbəkədəki təcavüzkarlar tərəfindən tutulması ehtimalı hələ də mövcuddur. Bunun qarşısını almaq üçün ötürülmə zamanı məlumatlar şifrələnir.
Şifrələmə, təbii olaraq, şəbəkədə məlumatların tutulma ehtimalını azaldır, ona görə də alıcı/satıcı, satıcı/İnternet ödəniş sistemi, alıcı/İnternet ödəniş sistemi arasında əlaqəni təhlükəsiz protokollardan istifadə etməklə həyata keçirmək məqsədəuyğundur. Bu gün onlardan ən çox yayılmışları SSL (Secure Sockets Layer) protokolu, eləcə də İnternetdə kredit kartı ilə alış-veriş üçün ödənişlərlə bağlı əməliyyatların icrası zamanı SSL-i nəhayət əvəz etmək üçün nəzərdə tutulmuş SET (Secure Electronic Transaction) standartıdır.
3. İnternet ödəniş sistemi avtorizasiya sorğusunu ənənəvi ödəniş sisteminə ötürür.
4. Növbəti addım emitent bankın hesabların onlayn məlumat bazasını saxlayıb-saxlamamasından asılıdır. Məlumat bazası olduqda, prosessinq mərkəzi emitent banka kartın avtorizasiyası üçün sorğu göndərir (giriş və ya lüğətə baxın) (4a) və sonra (4b) onun nəticəsini alır. Belə bir məlumat bazası yoxdursa, o zaman prosessinq mərkəzi özü kart sahiblərinin hesablarının vəziyyəti haqqında məlumatları saxlayır, siyahıları dayandırır və avtorizasiya sorğularını yerinə yetirir. Bu məlumatlar emitent banklar tərəfindən mütəmadi olaraq yenilənir.
Mağaza xidmət göstərir və ya mal göndərir (8a);
Prosessinq mərkəzi başa çatmış əməliyyat haqqında məlumatı hesablaşma bankına ötürür (8b). Alıcının emitent bankdakı hesabından pul hesablaşma bankı vasitəsilə mağazanın ekvayer bankdakı hesabına köçürülür.
Əksər hallarda bu cür ödənişləri həyata keçirmək üçün xüsusi proqram təminatı tələb olunur.
O, alıcıya (elektron pul kisəsi adlanır), satıcıya və onun xidmət bankına verilə bilər.
Əvvəlki25262728293031323334353637383940Sonrakı
DAHA ÇOX BAXIN:
Həyatımızda İnternet təkcə ünsiyyət, əyləncə və istirahət vasitəsi deyil, həm də iş, eləcə də elektron ödənişlər üçün vasitədir. Bir çoxumuz onlayn bankçılıq xidmətlərindən istifadə edir və onlayn mağazalarda alış-veriş edirik.
Onlayn əməliyyatlar üçün əsas təhlükələr
İnternet bankçılıq sistemlərinin və onlayn mağazaların təhlükəsizliyinə baxmayaraq - ikiqat autentifikasiya, birdəfəlik dinamik SMS parol sistemləri, birdəfəlik parolların və ya aparat açarlarının əlavə siyahısı, SSL ilə qorunan əlaqə və s. kimi qorunma üsullarından istifadə olunur - müasir hücum üsulları hətta ən etibarlı müdafiə mexanizmlərindən yan keçməyə imkan verir.
Bu gün təcavüzkarlar İnternet istifadəçilərinin maliyyə məlumatlarına hücum etmək üçün ən çox yayılmış üç yanaşmadan istifadə edirlər:
— giriş məlumatlarını ələ keçirmək üçün istifadə edilən troyan proqramları (keyloggerlər, ekran qeydləri və s.) ilə qurbanın kompüterinin yoluxması;
- sosial mühəndislik metodlarından istifadə - e-poçt, internet saytları, sosial şəbəkələr və s. vasitəsilə fişinq hücumları;
— texnoloji hücumlar (iyləmə, DNS/Proksi serverlərin dəyişdirilməsi, sertifikatların dəyişdirilməsi və s.).
İnternet bankçılığı necə qorumaq olar?
İstifadəçi yalnız banka etibar etməməli, internetdə elektron ödənişlərin təhlükəsizliyini artırmaq üçün təhlükəsizlik proqramlarından istifadə etməlidir.
Müasir İnternet Təhlükəsizliyi həlləri, antivirus funksiyalarına əlavə olaraq, təhlükəsiz ödəniş alətləri (onlayn əməliyyatlar üçün təcrid olunmuş virtual mühitlər), eləcə də zəiflik skaneri, linklərin yoxlanılması ilə veb-mühafizə, zərərli skriptlərin və pop-upların bloklanması, məlumatların tutulmadan qorunması təklif edir. (anti-keyloggerlər), virtual klaviatura .
Onlayn ödənişləri qorumaq üçün ayrıca funksiyaya malik kompleks həllər arasında Kaspersky Internet Security və “Təhlükəsiz Ödənişlər” komponenti, avast!
Bank işində informasiya təhlükəsizliyi
Avast ilə İnternet Təhlükəsizliyi! Bitdefender Safepay ilə SafeZone və Bitdefender İnternet Təhlükəsizliyi. Bu məhsullar əlavə qorunma barədə narahat olmamağa imkan verir.
Fərqli bir antivirusunuz varsa, əlavə qorunma tədbirlərinə daha yaxından baxa bilərsiniz. Onların arasında: Bitdefender Safepay (izolyasiya edilmiş veb-brauzer), Brauzeri hücumlardan qorumaq üçün Trusteer Rapport və HitmanPro.Alert, Netcraft Extension plaginləri və proqramları, fişinqdən qorunmaq üçün McAfee SiteAdvisor, Adguard.
İctimai yerlərdə açıq simsiz Wi-Fi şəbəkələrinə qoşularkən maliyyə əməliyyatlarını yerinə yetirməli olsanız, firewall və VPN müştərisi haqqında unutmayın. Məsələn, CyberGhost VPN AES 256-bit trafik şifrələməsindən istifadə edir ki, bu da təcavüzkarın ələ keçirilsə belə məlumatlardan istifadə etməsinin qarşısını alır.
Onlayn ödənişləri qorumaq üçün hansı üsullardan istifadə edirsiniz? Təcrübənizi şərhlərdə paylaşın.
Bank sektorunda ilkin olaraq məlumatların məxfiliyi, saxlanması və mühafizəsi ilə bağlı problem var idi. Rəqiblər və cinayətkarlar həmişə bu cür məlumatlarla maraqlandıqlarından və onu əldə etmək üçün bütün səylərini əsirgəmədiklərindən bank qurumlarının məlumat təhlükəsizliyi biznesdə mühüm rol oynayır. Bu cür problemdən qaçmaq üçün bank məlumatlarınızı necə qorumağı öyrənməlisiniz. Bank məlumatlarının mühafizəsinin effektiv olması üçün, ilk növbədə, informasiya sızmasının bütün mümkün üsullarını nəzərə almaq lazımdır. Məhz: kadr seçərkən insanların məlumatlarını diqqətlə yoxlayın, onların bioqrafik məlumatlarını və əvvəlki iş yerlərini yoxlayın.
Bank təşkilatlarının informasiya təhlükəsizliyi
Bank və kredit təşkilatları tərəfindən işlənmiş bütün məlumat məlumatları risk altındadır. Buraya həm müştəri məlumatları, həm də bankların bilavasitə işinə dair məlumatlar, onların məlumat bazaları və s. Fakt budur ki, bu cür məlumatlar həm rəqiblər, həm də cinayət fəaliyyəti ilə məşğul olan şəxslər üçün faydalı ola bilər. Onların hərəkətləri, avadanlığın virus infeksiyası və ya əməliyyat sisteminin nasazlığı nəticəsində yaranan problemlərlə müqayisədə bu cür təşkilatlara həqiqətən böyük ziyan vurur.
Müasir cəmiyyətin yüksək rəqabət şəraitində bank serverlərini və yerli şəbəkələri müdaxilələrdən və şirkət materiallarına icazəsiz daxil olmaqdan qorumaq sadəcə zəruridir.
Bank müəssisələrinin sistemlərinin informasiya təhlükəsizliyi vacibdir, çünki o, bank müştəriləri haqqında məlumatların məxfiliyinə zəmanət verir. Təşkilatların gündəlik ehtiyat nüsxələri mühüm məlumatların tamamilə itirilməsi riskini azaldır. Bundan əlavə, məlumatları icazəsiz girişlə bağlı təhlükələrdən qorumaq üçün üsullar hazırlanmışdır. Bu cür məlumatların sızması həm quruma xüsusi olaraq göndərilən casus xidmətlərinin, həm də uzun müddət işləyən və bankın məlumat əmlakını oğurlayaraq pul qazanmağa qərar verən işçilərin işi nəticəsində baş verə bilər. İşini bilən peşəkar və mütəxəssislərin əməyi sayəsində təhlükəsizlik təmin edilir.
Müştərilərin qorunması bütövlükdə bankın nüfuzuna, o cümlədən təşkilatın gəlirlərinə təsir edən ən vacib göstəricilərdən biridir. Çünki yalnız yaxşı rəylər banka yüksək xidmət səviyyəsinə nail olmağa və rəqiblərindən üstün olmağa kömək edəcək.
Bank sisteminin məlumatlarına icazəsiz giriş
Bank məlumatlarını oğurlamağın ən geniş yayılmış üsullarından biri ehtiyat nüsxədən istifadə etmək, saxlama cihazındakı məlumatları silmək və ya sındırmanı simulyasiya etməkdir, lakin maddi aktivləri oğurlamaq məqsədi ilə deyil, serverdəki məlumatlara çıxış əldə etməkdir. Ehtiyat nüsxələr adətən lent disklərində ayrı yerlərdə saxlandığından, onların nüsxələri təyinat yerinə daşınarkən hazırlana bilər. Məhz buna görə də bu cür işə qəbul olunan əməkdaşların müxtəlif dövlət qurumları vasitəsilə cinayət faktları, keçmişdə qanunvericiliklə bağlı problemləri, o cümlədən özləri haqqında verilən məlumatların etibarlılığı diqqətlə yoxlanılır. Buna görə də, bank məlumatlarının oğurlanması ehtimalını qiymətləndirməməlisiniz, çünki dünya praktikası belə hallarla doludur.
Məsələn, 2005-ci ildə Rusiya Federasiyası Mərkəzi Bankının əməliyyatlarının məlumat bazaları satışa çıxarıldı. Ola bilsin ki, bu məlumat məhz bank sistemlərinin kifayət qədər mühafizəsi olmadığı üçün bank təşkilatından kənara sızıb. Oxşar vəziyyət bir neçə dəfə Amerika Birləşmiş Ştatlarının dünya şöhrətli şirkətlərində baş verib, onların informasiya təhlükəsizliyi bundan çox zərər çəkib.
Bankın mühafizə xidmətinin rəhbəri ilə müsahibə:
Üstəlik, məlumatların sistemlərdən sızmasının başqa bir yolu ondan pul qazanmaq istəyən bank işçiləridir. Əksər hallarda bank sisteminin məlumatlarına icazəsiz giriş yalnız evdə işləmək imkanı əldə etmək məqsədilə həyata keçirilsə də, məxfi olan məlumatların yayılmasına səbəb olur. Bundan əlavə, bu, bank təşkilatlarının təhlükəsizlik siyasətinin birbaşa pozulmasıdır.
Onu da nəzərə almaq lazımdır ki, istənilən bankda bu cür məlumatların əldə edilməsində mühüm imtiyazları olan şəxslər çalışır. Bunlar adətən sistem administratorlarıdır. Bir tərəfdən, bu, rəsmi vəzifələri yerinə yetirməyə imkan verən istehsal zərurətidir, digər tərəfdən, onlar bundan öz məqsədləri üçün istifadə edə bilərlər və eyni zamanda peşəkar şəkildə "izlərini necə örtməyi" bilirlər.
İnformasiya sızması riskini azaltmağın yolları
Bank məlumatlarının icazəsiz girişdən qorunması adətən ən azı 3 komponentdən ibarətdir. Bu komponentlərin hər biri istifadə edildiyi ərazidə bank təhlükəsizliyini təmin etməyə kömək edir. Buraya fiziki girişdən qorunma, ehtiyat nüsxələri və insayderlərdən qorunma daxildir.
Banklar fiziki girişə xüsusi diqqət yetirdikləri və icazəsiz giriş imkanlarını tamamilə aradan qaldırmağa çalışdıqları üçün mühüm məlumatların şifrələnməsi və kodlaşdırılması üçün xüsusi alət və üsullardan istifadə etməli olurlar. Bankların məlumatların qorunması üçün oxşar sistemləri və vasitələri olduğundan, kriptoqrafik təhlükəsizlik tədbirlərindən istifadə etmək daha yaxşıdır. Onlar kommersiya məlumatlarının qorunmasına kömək edir, həmçinin belə vəziyyətlərin risklərini azaldır. Məlumatın mühafizəsi xərclərini azaltmağa kömək edən, həmçinin məlumatları daim deşifrə etmək və şifrələmək ehtiyacından azad edən şəffaf şifrələmə prinsipindən istifadə edərək məlumatı şifrələnmiş formada saxlamaq daha yaxşıdır.
Bütün bank sistemi məlumatlarının əslində müştəri pulu olduğunu nəzərə alsaq, onun təhlükəsizliyinə lazımi diqqət yetirilməlidir. Bir yol, sabit diskdə pis sektorların mövcudluğunu müəyyən etməkdir. Diskin ilkin şifrələməsi, şifrələnməsi, şifrəsinin açılması və yenidən şifrələnməsi zamanı prosesin ləğvi və ya dayandırılması funksiyası mühüm rol oynayır. Bu prosedur uzun müddət çəkir və buna görə də hər hansı bir uğursuzluq məlumatın tamamilə itirilməsinə səbəb ola bilər. Şifrələmə açarlarını və sistemlərini saxlamağın ən etibarlı yolu smart kartlar və ya USB açarlarıdır.
İnformasiya sistemlərinin mühafizəsi təkcə strimerlərdən deyil, həm də çıxarıla bilən sərt disklərdən, DVD daşıyıcılardan və digər əşyalardan istifadə etməklə daha effektiv həyata keçirilir. İnformasiya mənbələrinin fiziki nüfuzundan qorunma vasitələrinin kompleks istifadəsi onun təhlükəsizliyi və rəqiblər və təcavüzkarlar tərəfindən toxunulmazlıq şansını artırır.
Bu videodan görülməli olan tədbirlər haqqında öyrənəcəksiniz:
İnformasiya sistemlərinin insayderlərdən qorunması üsulları
Əsasən, məlumat oğurluğu mobil media, müxtəlif növ USB cihazları, disklər, yaddaş kartları və digər mobil cihazlardan istifadə etməklə baş verir. Ona görə də düzgün qərarlardan biri də bu cür cihazların iş yerində istifadəsinə qadağa qoymaqdır. Lazım olan hər şey serverlərdə saxlanılır və bank mühitində məlumatların haradan və haradan ötürülməsinə diqqətlə nəzarət edilir. Bundan əlavə, ekstremal hallarda yalnız şirkət tərəfindən satın alınan mediadan istifadə edilə bilər. Kompüterin xarici media və yaddaş kartlarını tanımaması üçün xüsusi məhdudiyyətlər qoya bilərsiniz.
Məlumatın qorunması bank təşkilatlarının səmərəli fəaliyyəti üçün zəruri olan ən vacib vəzifələrindən biridir. Müasir bazar bu planları həyata keçirmək üçün böyük imkanlara malikdir. Kompüterlərin və portların bloklanması sistemlərin daha təhlükəsiz şəkildə qorunmasını təmin etmək üçün müşahidə edilməli olan ən vacib şərtdir.
Unutmamalıyıq ki, məlumat oğurluğu ilə məşğul olanlar kommersiya məlumatlarını qoruyan sistemlər toplusu ilə də tanışdırlar və mütəxəssislərin köməyi ilə onlardan yan keçə bilərlər. Bu cür risklərin baş verməsinin qarşısını almaq üçün daim təhlükəsizliyi yaxşılaşdırmaq üçün işləmək və qabaqcıl mühafizə sistemlərindən istifadə etməyə çalışmaq lazımdır.