Pravo.Studio ©

info@pravo.studio

Рейтинг@Mail.ru

 <<
>>

К ВОПРОСУ О БЕЗОПАСНОСТИ ПЛАТЕЖНЫХ СИСТЕМ

При создании платежных систем необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различается внутренняя и внешняя безопасность.

Внутренняя безопасность должна обеспечивать целостность программ и данных, обеспечение нормальной работы всей системы. Внешняя — должна защищать от любых угрожающих сбоем в системе проникновений. В настоящее время существует два подхода к построению защиты платежных систем:
  • комплексный подход — объединяет разнообразные методы противодействия угрозам;
  • фрагментарный подход — противодействие определенным угрозам (антивирусные средства и т. п.).

Комплексный подход применяется для защиты крупных систем (например, международные межбанковские сети). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой был приведен свод правил и норм, атакже основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее «руководство к действию» для специалистов по защите информации. В ней определяются описанные ниже понятия.

  • Политика безопасности, т. е. совокупность норм, правили методик, на основе которых в дальнейшем строится деятельность

информационной системы в области обращения, хранения, распределения критичной информации.

Политика безопасности определяет:

  1. Цели, задачи, приоритеты системы безопасности.
  2. Гарантированный минимальный уровень защиты.
  3. Обязанности персонала по обеспечению защиты.

4 Санкции за нарушение защиты.

5. Области действия отдельных подсистем.

Ф Анализриаса, который состоит из нескольких этапов:

  1. Описание состава системы (т. е. документация, аппаратные средства, данные, персонал и т.
    д.).
  2. Определение по каждому элементу системы уязвимых мест.
  3. Оценка вероятности реализации угроз.

4 Оценка ожидаемых размеров потерь.

  1. Анализ методов и средств защиты.
  2. Оценка оптимальности предлагаемых мер.

Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод такого разграничения информации следующий:

  • конфиденциальная информация — доступ к которой строго ограничен;

Ф открытая информация — доступ к которой посторонних не связан с материальными и другими потерями.

Для коммерческой деятельности такой градации вполне достаточно.

Наиболее распространенными угрозами безопасности являются:

Ф несанкционированный доступ, т. е. получение пользователем доступа к объекту без соответствующего разрешения;

  • «взлом системы», т. е. умышленное проникновение (основную нагрузку защиты в этих случаях несет программа входа);
  • «маскарад», т. е. выполнение каких-либо действий одним пользователем банковской системы от имени другого;

* вирусные программы, т. е. воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.

Проблема обеспечения своей информационной безопасности выходит за рамки одной страны. Ни один из пользователей сети не защищен на все 100%. Вырабатываются новые программы защиты, но рано или поздно находится «умник», который проходит через все хитроумные преграды. Одно из самых крупных проникновений в банковскую сеть за последние годы — попытка снять более $12 млн из Ситибанка (крупнейший банкАмерики и крупнейший в мире торговец валютой) нашим соотечественником Левиным в 1994 г. Больше четверти миллиона этой суммы до сих пор не найдено, и перспектив найти и вернуть деньги их законному владельцу пока нет. Все чаще и чаще средства массовой информации сообщают о хакерах, взламывающих защиту в виртуальных магазинах и делающих покупки по чужим кредитным карточкам.

Идет своего рода состязание между «взломщиками» и «защитниками», и кто кого одолеет, пока неизвестно.

В зависимости от существующих угроз, различают следующие направления защиты электронных систем:

  1. Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения.
  2. Защита информационных ресурсов от несанкционированного использования.
  3. Защита информационных ресурсов от несанкционированного доступа.

4 Защита информации в каналах связи и узлах коммутации (блокирует угрозу «подслушивания»),

  1. Защита юридической значимости электронныхдокументов.
  2. Защита систем от вирусов.

Существуют различные программно-технические средства защиты.

К классу технических средств относятся: средства физической защиты территорий, сети электропитания, аппаратные и аппаратно- программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.

К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защи- ХЫ) программы восстановления и резервного хранения информации. Например, разработчики платежной системы Webmoney Transfer предприняли повышенные меры безопасности для всех сообщений в системе с помощью их кодировки. Использование специального алгоритма защиты информации (похожего на алгоритм RSA, где длина ключа более 1024 бит) и использование специальных ключей при каждом сеансе передачи информации позволяет защитить информацию о назначении и сумме платежа от чужого любопытства.

Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер. В государственном секторе и при наличии информации, относящейся к государственной тайне, они обязательны для исполнения.

Технологий защиты данных много, однако постоянно появляются новые. Компания Intel, процессорами которой оснащены 85% всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий в России такими технологиями вообще нельзя пользоваться без разрешения ФАПСИ (Федерального агентства правительственной связи и информации при президенте РФ). Ни западных, ни наших сертифицированных программ защиты платежей, проводимых через Интернет, пока нет. В общем, проблем достаточно, но виртуальная экономика не может не развиваться. Любые платежи и банковские услуги в Интернете выгодны для клиентов, выгодны для банков, выгодны для коммерсантов, поскольку себестоимость любых электронных транзакций в несколько раз ниже обычных. Это шанс для российских банков стать известными на международном уровне и получить мировое признание, причем в самые короткие сроки.

Еще недавно мы и не помышляли о пластиковых карточках, о возможностях электронных сетей, в частности Интернета. Перед Россией стоит уникальная возможность, используя все последние достижения и наработки, существующие в мире, сделать большой шаг вперед в использовании достижений научно-технической мысли, минуя промежуточные этапы. В настоящее время многие компании уже работают в сфере Интернет-бизнеса, несмотря на то что по многим параметрам это работа больше на перспективу, чем на получение огромных доходов на сегодняшний день. Если вы решились на вложение капитала в создание Интернет-магазина, не ждите быстрой отдачи. Занять свою «нишу» в сети очень непросто, тем более, что как показывает опыт, предложение самых приобретаемых товаров в Интернете (книги, CD, DVD, компьютеры, комплектующие) уже превышает спрос. Удивить и заинтересовать потенциального розничного покупателя чем-либо сложно, однако это вовсе не означает, что Интернет-бизнес бесперспективен. Одно из самых очевидных преимуществ в занятии Интернет-коммерцией — отсутствие географических границ и ограничений времени.

Это хорошая возможность расширить границы своего бизнеса, ведь сколько бы ни выражалось недовольства нашими расчетными системами, но они все-таки позволяют работать с зарубежными клиентами и партнерами. Не исключено, что уже в ближайшее время появятся новые разработки, которые максимально устроят всех контрагентов и государство в том числе. Применяйте уже выработанные до вас методы оценки эффективности (например, оценка эффективности рекламы в Интернете— CTR— Click/Through Ratio — отношение числа нажатий на баннер к числу его показов, или, как его еще называют, «отклик баннера»), отслеживайте как можно больше информации по интересующим вас вопросам, посетите уже известные сайты I- магазинов и фирм-разработчиков. Учитесь на чужих ошибках, дабы максимально избежать своих. Процесс «виртуализации» экономики в России пошел — это уже факт, не вызывающий сомнений ни у кого. Прежде чем заняться разработкой системы электронной коммерции применительно к своему уже существующему бизнесу, определитесь, с какой целью вы хотите ее использовать (для продаж, для рекламы, для расширения партнерских связей и т. п.). Исходя из поставленных целей идите дальше в определении ближайших задач и планов на перспективу. От того, насколько правильно вы сориентировали свои задачи на начальном этапе, зависит, будет итог вашей работы положительным или нет. Следует заранее просчитывать вариант на случай резких изменений в технологиях и, особенно для России, в государственной экономической политике. Разрабатываемый вами проект должен быть универсален и гибок, чтобы иметь возможность быстро перестроить хотя бы основные бизнес- схемы, если это понадобится.

Общее развитие мировой экономики в целом будет определяться развитием информационныхтехнологий иужесточением конкуренции во всех сферах. Уже сегодня тот, кто опережает конкурентов по возможностям анализа доступной коммерческой информации, имеет значительное преимущество. Современная экономика — динамично развивающийся процесс и в области производства новых товаров и услуг, и в области появления новых расчетных схем, и в области потребления.

Ясно одно, что появление Интернета дало человечеству возможность интегрировать свою деятельность независимо ни от чего, кроме развития сетей передачи информации (т. е. каналовтелекоммуникации). Спомощью использования Интернет- технологий в сфере инвестиций можно решать задачи международного сотрудничества, содействия организации профессионального информационного обеспечения, практически любые международные экономические проблемы.

Интернет все больше проникает во все сферы деятельности человека. В технически развитых странах уже есть наработки по регулированию деятельности в Сети, но в России эта проблема еще находится на стадии разрешения. В любом случае, практика показывает, что требуется четкая законодательная база по вопросам Интернет- коммерции и вопросам безопасности проведения платежей.

Не воспринимайте Интернет как что-то особенное — это просто новая среда передачи информации, которую человек всячески пытается подстроить под свои нужды, поэтому не надо бояться пробовать свои силы в этой новой области экономики.

Мы будем рады, если эта книга помогла вам в понимании некоторых вопросов Интернет-коммерции.

<< | >>
Источник: Афонина С. В.. Электронные деньги. — СПб: Питер,2001. — 128 с.: ил. — (Серия «Наука делать деньги»). ISBN 5-318-00011-8. 2001

Еще по теме К ВОПРОСУ О БЕЗОПАСНОСТИ ПЛАТЕЖНЫХ СИСТЕМ:

- Биржа - Бонистика - Валюта - Денежные системы - Деньги и политика - Инфляция - Как заработать деньги - Карты кладов - Религия и деньги - Теория денег - Электронные деньги -
- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Антимонопольно-конкурентное право - Арбитражный (хозяйственный) процесс - Аудит - Банковская система - Банковское право - Бизнес - Бухгалтерский учет - Вещное право - Государственное право и управление - Гражданское право и процесс - Денежное обращение, финансы и кредит - Деньги - Дипломатическое и консульское право - Договорное право - Жилищное право - Земельное право - Избирательное право - Инвестиционное право - Информационное право - Исполнительное производство - История - История государства и права - История политических и правовых учений - Конкурсное право - Конституционное право - Корпоративное право - Криминалистика - Криминология - Маркетинг - Медицинское право - Международное право - Менеджмент - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Обязательственное право - Оперативно-розыскная деятельность - Права человека - Право зарубежных стран - Право социального обеспечения - Правоведение - Правоохранительная деятельность - Предпринимательское право - Семейное право - Страховое право - Судопроизводство - Таможенное право - Теория государства и права - Трудовое право - Уголовно-исполнительное право - Уголовное право - Уголовный процесс - Философия - Финансовое право - Хозяйственное право - Хозяйственный процесс - Экологическое право - Экономика - Ювенальное право - Юридическая деятельность - Юридическая техника - Юридические лица -

Pravo.Studio ©

info@pravo.studio