Современные
информационные технологи/Информационная безопасность
Дубчак О. В., Голоцван Д.О.
Національний
авіаційний університет, Україна
КОМПЛЕКС ЗАСОБІВ ЗАХИСТУ ІНФОРМАЦІЙНИХ РЕСУРСІВ БАНКІВСЬКОЇ УСТАНОВИ
Вступ. Сукупність умов та
чинників, які становлять небезпеку життєво важливим інтересам фізичних та
юридичних осіб у зв’язку з можливістю негативного впливу на інформаційні ресурси та
інформаційно-технічну інфраструктуру банківських установ (БУ), складають
загрози безпеці БУ в інформаційній сфері. Вирішення проблеми забезпечення
інформаційної безпеки БУ здійснюється
шляхом вдосконалення нормативно-правової бази щодо захисту інформаційних
ресурсів, протидії комп’ютерній злочинності і, серед інших, захисту
персональних даних власників платіжних карток.
Актуальність. Вимоги до безпеки персональних даних
власників платіжних карток (ПДВПК), які передаються, зберігаються й
обробляються в інформаційних інфраструктурах БУ, постійно зростають через
збільшення випадків витоку конфіденційної інформації відносно клієнтських
рахунків.
Постановка завдання. Зростаючі
вимоги до захисту конфіденційності інформаційних ресурсів БУ потребують комплексного
підходу до удосконалення системи безпеки. Для вирішення проблем забезпечення
захисту платіжних пластикових карток і ПДВПК використовуються сучасні засоби,
такі, як стандарт PCI DSS (Payment Card
Industry Data Security Standard) та програмно - апаратний комплекс СryptoСard,
що є засобом забезпечення ідентифікації та аутентифікації користувачів під час
здійснення доступу до інформаційних ресурсів і сервісів автоматизованих систем БУ
з використанням електронних ключів.
Мета Проаналізувати можливості технології
СryptoСard як засобу забезпечення ефективної безпеки інформаційних ресурсів
локальної мережі БУ та системи засобів захисту конфіденційних ПДВПК за
стандартом PCI DSS.
Використання системи
удосконаленої ідентифікації СryptoСard виключає ризики несанкціонованого
доступу до корпоративних інформаційних ресурсів при втраті статичного пароля
користувачами локальної мережі БУ та надає переваги централізованої системи
аутентифікації та ідентифікації абонентів для будь-якого сумісного з системою
сервісу, для чого слугує наявність у рішенні СryptoСard двох стадій проведення
аутентифікації користувача – підготовчої та безпосередньо аутентифікації. Забезпечення
захисту інформаційних ресурсів базується саме на комбінуванні двоступеневої
аутентифікації з одноразовим паролем на
сесію, який генерується і складність та довжину якого дозволяється обирати
користувачам самостійно, як і PIN-коду [2]. Перевагами системи CryptoCard слід вважати:
наявність засобів захисту паролів (токенів) від дії статичної напруги та
електромагнітних полів; унеможливлення
ризиків, що існують в класичній однорівневій моделі аутентифікації; відсутність
потреби сінхронізування за часом; застосування стійких криптографічних
алгоритмів; гарантування дотримання політики конфіденційності через
ініціалізацію токенів, функціонування яких
не обмежено, безпосередньо кінцевим користувачем; генерування паролю за необхідністю при кожному уведенні PIN-коду;
захищеність програмного та апаратного забезпечення PIN-кодом, який відомий
тільки користувачу і без якого генерування паролю унеможливлюється [5].
Стандарт PCI DSS[1] визначає вимоги безпеки
в наступних областях контролю: підтримка політики інформаційної безпеки; побудова
й супровід захищеної мережі, що полягає в установленні й забезпеченні
функціонування файєрволів для захисту ПДВПК, невикористання системних паролів і
інших параметрів безпеки, установлених виробниками за вмовчання; забезпечення захисту
ПДВПК у ході зберігання та забезпечення
шифрування ПДВПК при передаванні загальнодоступними мережами; підтримка
програми керування уразливостями, яка базується на використанні й регулярному відновленні антивірусного програмного
забезпечення, розробці й підтримці безпечних систем і додатків; реалізація
заходів щодо суворого контролю доступу, до яких належать обмеження доступу до ПДВПК відповідно до службової необхідності,
присвоєння унікального ідентифікатора кожній особі, яка має доступ до
інформаційної інфраструктури, та обмеження фізичного доступу до ПДВПК; регулярний
моніторинг і тестування мережі, що полягає у контролі і відстеженні всіх
сеансів доступу до мережних ресурсів і ПДВПК, а також регулярному тестуванні процесів і систем забезпечення
захисту [3].
Для підвищення ступеня захисту ПДВПК на
платіжній картці розміщуються: текст або зображення, що можна побачити тільки в
ультрафіолетовому спектрі; мікротекст, який можна прочитати тільки за допомогою
збільшувального скла; дифракційний елемент, який змінює колір залежно від кута
зору; зображення з ліній різної товщини, яке неможливо скопіювати тощо[4].
Висновки. Запобіганню зловмисних
дій щодо конфіденційної інформації локальної мережі з віддаленим доступом слугує наявність у технології СryptoСard,
апаратна частини якої є інтелектуальним генератором пароля, двох стадій
проведення аутентифікації користувача, що дозволяє виключити перехоплення пароля до його відправлення системі
віддаленого доступу або на самому сервері доступу. Дотримання вимог стандарту PCI DSS,
невиконання яких може призвести до значних збитків у випадку виникнення витоку ПДВПК, є необхідною
умовою надійного функціонування системи
інформаційної безпеки банківської установи.
Література:
5. http://bit-info.com/aladdin/cryptocard