<<
>>

К ВОПРОСУ О БЕЗОПАСНОСТИ ПЛАТЕЖНЫХ СИСТЕМ

При создании платежных систем необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различается внутренняя и внешняя безопасность.

Внутренняя безопасность должна обеспечивать целостность программ и данных, обеспечение нормальной работы всей системы. Внешняя — должна защищать от любых угрожающих сбоем в системе проникновений. В настоящее время существует два подхода к построению защиты платежных систем:
  • комплексный подход — объединяет разнообразные методы противодействия угрозам;
  • фрагментарный подход — противодействие определенным угрозам (антивирусные средства и т. п.).

Комплексный подход применяется для защиты крупных систем (например, международные межбанковские сети). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой был приведен свод правил и норм, атакже основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее «руководство к действию» для специалистов по защите информации. В ней определяются описанные ниже понятия.

  • Политика безопасности, т. е. совокупность норм, правили методик, на основе которых в дальнейшем строится деятельность

информационной системы в области обращения, хранения, распределения критичной информации.

Политика безопасности определяет:

  1. Цели, задачи, приоритеты системы безопасности.
  2. Гарантированный минимальный уровень защиты.
  3. Обязанности персонала по обеспечению защиты.

4 Санкции за нарушение защиты.

5. Области действия отдельных подсистем.

Ф Анализриаса, который состоит из нескольких этапов:

  1. Описание состава системы (т. е. документация, аппаратные средства, данные, персонал и т.
    д.).
  2. Определение по каждому элементу системы уязвимых мест.
  3. Оценка вероятности реализации угроз.

4 Оценка ожидаемых размеров потерь.

  1. Анализ методов и средств защиты.
  2. Оценка оптимальности предлагаемых мер.

Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод такого разграничения информации следующий:

  • конфиденциальная информация — доступ к которой строго ограничен;

Ф открытая информация — доступ к которой посторонних не связан с материальными и другими потерями.

Для коммерческой деятельности такой градации вполне достаточно.

Наиболее распространенными угрозами безопасности являются:

Ф несанкционированный доступ, т. е. получение пользователем доступа к объекту без соответствующего разрешения;

  • «взлом системы», т. е. умышленное проникновение (основную нагрузку защиты в этих случаях несет программа входа);
  • «маскарад», т. е. выполнение каких-либо действий одним пользователем банковской системы от имени другого;

* вирусные программы, т. е. воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.

Проблема обеспечения своей информационной безопасности выходит за рамки одной страны. Ни один из пользователей сети не защищен на все 100%. Вырабатываются новые программы защиты, но рано или поздно находится «умник», который проходит через все хитроумные преграды. Одно из самых крупных проникновений в банковскую сеть за последние годы — попытка снять более $12 млн из Ситибанка (крупнейший банкАмерики и крупнейший в мире торговец валютой) нашим соотечественником Левиным в 1994 г. Больше четверти миллиона этой суммы до сих пор не найдено, и перспектив найти и вернуть деньги их законному владельцу пока нет. Все чаще и чаще средства массовой информации сообщают о хакерах, взламывающих защиту в виртуальных магазинах и делающих покупки по чужим кредитным карточкам.

Идет своего рода состязание между «взломщиками» и «защитниками», и кто кого одолеет, пока неизвестно.

В зависимости от существующих угроз, различают следующие направления защиты электронных систем:

  1. Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения.
  2. Защита информационных ресурсов от несанкционированного использования.
  3. Защита информационных ресурсов от несанкционированного доступа.

4 Защита информации в каналах связи и узлах коммутации (блокирует угрозу «подслушивания»),

  1. Защита юридической значимости электронныхдокументов.
  2. Защита систем от вирусов.

Существуют различные программно-технические средства защиты.

К классу технических средств относятся: средства физической защиты территорий, сети электропитания, аппаратные и аппаратно- программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.

К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защи- ХЫ) программы восстановления и резервного хранения информации. Например, разработчики платежной системы Webmoney Transfer предприняли повышенные меры безопасности для всех сообщений в системе с помощью их кодировки. Использование специального алгоритма защиты информации (похожего на алгоритм RSA, где длина ключа более 1024 бит) и использование специальных ключей при каждом сеансе передачи информации позволяет защитить информацию о назначении и сумме платежа от чужого любопытства.

Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер. В государственном секторе и при наличии информации, относящейся к государственной тайне, они обязательны для исполнения.

Технологий защиты данных много, однако постоянно появляются новые. Компания Intel, процессорами которой оснащены 85% всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий в России такими технологиями вообще нельзя пользоваться без разрешения ФАПСИ (Федерального агентства правительственной связи и информации при президенте РФ). Ни западных, ни наших сертифицированных программ защиты платежей, проводимых через Интернет, пока нет. В общем, проблем достаточно, но виртуальная экономика не может не развиваться. Любые платежи и банковские услуги в Интернете выгодны для клиентов, выгодны для банков, выгодны для коммерсантов, поскольку себестоимость любых электронных транзакций в несколько раз ниже обычных. Это шанс для российских банков стать известными на международном уровне и получить мировое признание, причем в самые короткие сроки.

Еще недавно мы и не помышляли о пластиковых карточках, о возможностях электронных сетей, в частности Интернета. Перед Россией стоит уникальная возможность, используя все последние достижения и наработки, существующие в мире, сделать большой шаг вперед в использовании достижений научно-технической мысли, минуя промежуточные этапы. В настоящее время многие компании уже работают в сфере Интернет-бизнеса, несмотря на то что по многим параметрам это работа больше на перспективу, чем на получение огромных доходов на сегодняшний день. Если вы решились на вложение капитала в создание Интернет-магазина, не ждите быстрой отдачи. Занять свою «нишу» в сети очень непросто, тем более, что как показывает опыт, предложение самых приобретаемых товаров в Интернете (книги, CD, DVD, компьютеры, комплектующие) уже превышает спрос. Удивить и заинтересовать потенциального розничного покупателя чем-либо сложно, однако это вовсе не означает, что Интернет-бизнес бесперспективен. Одно из самых очевидных преимуществ в занятии Интернет-коммерцией — отсутствие географических границ и ограничений времени.

Это хорошая возможность расширить границы своего бизнеса, ведь сколько бы ни выражалось недовольства нашими расчетными системами, но они все-таки позволяют работать с зарубежными клиентами и партнерами. Не исключено, что уже в ближайшее время появятся новые разработки, которые максимально устроят всех контрагентов и государство в том числе. Применяйте уже выработанные до вас методы оценки эффективности (например, оценка эффективности рекламы в Интернете— CTR— Click/Through Ratio — отношение числа нажатий на баннер к числу его показов, или, как его еще называют, «отклик баннера»), отслеживайте как можно больше информации по интересующим вас вопросам, посетите уже известные сайты I- магазинов и фирм-разработчиков. Учитесь на чужих ошибках, дабы максимально избежать своих. Процесс «виртуализации» экономики в России пошел — это уже факт, не вызывающий сомнений ни у кого. Прежде чем заняться разработкой системы электронной коммерции применительно к своему уже существующему бизнесу, определитесь, с какой целью вы хотите ее использовать (для продаж, для рекламы, для расширения партнерских связей и т. п.). Исходя из поставленных целей идите дальше в определении ближайших задач и планов на перспективу. От того, насколько правильно вы сориентировали свои задачи на начальном этапе, зависит, будет итог вашей работы положительным или нет. Следует заранее просчитывать вариант на случай резких изменений в технологиях и, особенно для России, в государственной экономической политике. Разрабатываемый вами проект должен быть универсален и гибок, чтобы иметь возможность быстро перестроить хотя бы основные бизнес- схемы, если это понадобится.

Общее развитие мировой экономики в целом будет определяться развитием информационныхтехнологий иужесточением конкуренции во всех сферах. Уже сегодня тот, кто опережает конкурентов по возможностям анализа доступной коммерческой информации, имеет значительное преимущество. Современная экономика — динамично развивающийся процесс и в области производства новых товаров и услуг, и в области появления новых расчетных схем, и в области потребления.

Ясно одно, что появление Интернета дало человечеству возможность интегрировать свою деятельность независимо ни от чего, кроме развития сетей передачи информации (т. е. каналовтелекоммуникации). Спомощью использования Интернет- технологий в сфере инвестиций можно решать задачи международного сотрудничества, содействия организации профессионального информационного обеспечения, практически любые международные экономические проблемы.

Интернет все больше проникает во все сферы деятельности человека. В технически развитых странах уже есть наработки по регулированию деятельности в Сети, но в России эта проблема еще находится на стадии разрешения. В любом случае, практика показывает, что требуется четкая законодательная база по вопросам Интернет- коммерции и вопросам безопасности проведения платежей.

Не воспринимайте Интернет как что-то особенное — это просто новая среда передачи информации, которую человек всячески пытается подстроить под свои нужды, поэтому не надо бояться пробовать свои силы в этой новой области экономики.

Мы будем рады, если эта книга помогла вам в понимании некоторых вопросов Интернет-коммерции.

<< | >>
Источник: Афонина С. В.. Электронные деньги. — СПб: Питер,2001. — 128 с.: ил. — (Серия «Наука делать деньги»). ISBN 5-318-00011-8. 2001

Еще по теме К ВОПРОСУ О БЕЗОПАСНОСТИ ПЛАТЕЖНЫХ СИСТЕМ:

  1. Роль и место центральных банков в платежных системах. Надзор и наблюдение за платежными системами. Обеспечение защиты информации управления рисками в платежной системе
  2. PCI DSS и реальная безопасность платежной системы банковских карт
  3. 1.2. Общие вопросы функционирования электронных платежных систем
  4. Глава I. Безопасность: понятие, сущность, структура. Формула обеспечения безопасности: объект безопасности - угрозы объекту - субъекты и системы обеспечения безопасности объекта
  5. PCI DSS = безопасность платежных карт?
  6. Понятие платежной системы, ее элементы и направления развития. Правовое регулирование платежей и расчетов в РФ. Виды платежных систем и характеристики перевода денежных средств
  7. Безопасность платежных карт — два пути
  8. 9. Понятие «платежная система». Элементы и виды платежных систем
  9. 12. Платежная система и ее элементы. Механизм функционирования платежной системы.
  10. 12. Платежная система и ее элементы. Механизм функционирования платежной системы.
  11. Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса
  12. Понятие и особенности клиринга. Организация клиринга в России, его участники. Осуществление платежного клиринга и расчета в платежной системе. Деятельность платежного клирингового центра
  13. Национальная система платежных карт «Российские платежные карты», не ограничивающая конкуренцию.
  14. Платежная система. Элементы платежной системы Республики Беларусь
  15. Порядок оказания платежных услуг. Деятельность субъектов национальной платежной системы
- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Арбитражный (хозяйственный) процесс - Аудит - Банковская система - Банковское право - Бухгалтерский учет - Военное право - Гражданское право и процесс - Денежное обращение, финансы и кредит - Деньги - Жилищное право - Земельное право - Избирательное право - Инвестиционное право - Информационное право - Исполнительное производство - История - История государства и права - История политических и правовых учений - Конкурсное право - Конституционное право - Корпоративное право - Криминалистика - Криминология - Маркетинг - Медицинское право - Международное право - Менеджмент - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Обязательственное право - Оперативно-розыскная деятельность - Права человека - Право зарубежных стран - Право социального обеспечения - Правоведение - Правоохранительная деятельность - Предпринимательское право - Семейное право - Страховое право - Судопроизводство - Таможенное право - Теория государства и права - Трудовое право - Уголовно-исполнительное право - Уголовное право - Уголовный процесс - Философия - Финансовое право - Хозяйственное право - Хозяйственный процесс - Экологическое право - Экономика - Ювенальное право - Юридическая техника - Юридические лица -