Имя материала: Национальная платежная система. Бизнес-энциклопедия

Автор: А.С. Воронин

Глава 9 технологии аутентификации для обеспечения безопасности платежей

 

Предоставление государственных услуг в электронном виде подразумевает возможность достаточно простого, удобного для пользователя и безопасного способа оплаты этих услуг Вместе с тем на примере развития банковских платежных систем (в частности, систем дистанционного банковского обслуживания, ДБО), видно, что данные системы все чаще подвергаются различного рода атакам . К сожалению, не слишком малая доля таких атак бывает успешной Например, согласно данным, опубликованным в специальной литературе1, на каждые 100 дол оборота потери по банковским операциям с пластиковыми картами в последние десять лет в среднем составляют от 7 до 11 центов (для сравнения — потери банков, связанные с кредитованием клиентов, в среднем в 2 раза меньше) Это является сдерживающим фактором развития электронных платежных систем и существенно снижает уровень доверия пользователей

Попробуем кратко проанализировать основные применяемые в настоящее время сервисы безопасности в электронных платежных системах с точки зрения выполнения требований информационной безопасности (ИБ)

Стандарт Банка России СТО БР ИББС-1 0—2010 (далее — Стандарт) в п 7 1 8 рекомендует при принятии руководством банковской системы решения об использовании Интернета и подготовке регламентирующих документов учитывать следующие положения:

■          Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение) Провайдеры (посредники) Интернета могут обеспечить только услуги, которые ими реализуются;

■          существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством Интернета;

 

■          существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные (доступные) из сети Интернет;

■          гарантии по обеспечению ИБ при использовании Интернета никаким органом (учреждением, организацией) не предоставляются

Заметим, что в отличие от хорошо изученных корпоративных информационных систем (ИС), участниками электронного взаимодействия в которых является определенный круг лиц, в последние годы интенсивно развивается новый тип ИС — информационные системы общего пользования (ИСОП), «участниками электронного взаимодействия в которых является неопределенный круг лиц и в использовании которых этим лицам не может быть отказано» (п . 13 ст . 2 Федерального закона от 7 апреля 2011 г . № 63-ФЗ «Об электронной подписи» (далее — Закон об электронной подписи)) В настоящее время размеры ИСОП, число их участников могут достигать гигантских размеров (один из самых очевидных примеров таких систем — Интернет) В отличие от Интернета, где изначально был реализован принцип анонимности пользователя, в большинстве ИСОП (системы электронной коммерции, государственных услуг для граждан и организаций и т д ), за исключением случаев информирования (получения открытой информации), необходимо обеспечение надежных механизмов управления доступом пользователей системы Решение данной задачи невозможно без применения средств автоматической идентификации — процедуры распознавания субъекта по его уникальному идентификатору, присвоенному данному субъекту ранее и занесенному в базу данных в момент регистрации субъекта в качестве легального пользователя системы Если в системе обрабатывается и хранится информация ограниченного доступа (банковская тайна, персональные данные), то доступ пользователей должен быть минимально достаточен и строго персонифицирован, следовательно, необходимо использовать надежные средства удаленной аутентификации — комплекса процедур проверки подлинности входящего в систему объекта, предъявившего свой идентификатор Поскольку банковские системы в отличие от ИСОП всегда были закрытыми (корпоративными), то предстоит большая организационная работа, необходимы изменения в нормативной базе и дополнительные технические средства для того, чтобы пользователи ИСОП могли присоединяться к банковским системам для оплаты, например, государственных усуг

В большинстве случаев проверка состоит в процедуре обмена между входящим в систему объектом и ресурсом, отвечающим за принятие решения («да» или «нет») Данная проверка, как правило, производится с применением криптографических преобразований, которые нужны, с одной стороны, для того, чтобы достоверно убедиться в том, что субъект является тем, за кого себя выдает, с другой — для защиты трафика обмена «субъект — система» от злоумышленника Таким образом, идентификация и аутентификация как сервисы безопасности являются взаимосвязанными процессами распознавания и проверки подлинности пользователей . Именно от корректности решения этих двух задач (распознавания и проверки подлинности) зависит, можно ли разрешить доступ к ресурсам системы конкретному пользователю, т . е . будет ли он авторизован . Данному вопросу уделяется повышенное внимание и в руководящих документах Так, стандарт в разделе 7 . 6 определяет следующие требования по обеспечению ИБ при использовании банковской системой ресурсов Интернета:

■          решение об использовании Интернета должно документально приниматься руководством организации банковской системы для определенных целей, например, для ведения дистанционного банковского обслуживания (ДБО);

■          для ограничения использования Интернета в неустановленных целях рекомендуется документально выделить ограниченное число пакетов, содержащих перечень сервисов и ресурсов Интернета, доступных пользователям (сотрудникам банка) в соответствии с их должностными обязанностями и ролями;

■          в организациях банковской системы, осуществляющих ДБО клиентов, в связи с повышенными рисками нарушения ИБ при взаимодействии с Интернетом должны применяться средства защиты информации (межсетевые экраны, антивирусные средства, средства криптографической защиты и пр ), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии;

■          рекомендуется выполнить выделение и организовать физическую изоляцию от внутренних сетей тех компьютеров, с помощью которых осуществляется взаимодействие с Интернетом в режиме онлайн;

■          при осуществлении ДБО должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы; все попытки таких подмен должны регистрироваться регламентированным образом;

■          все операции клиентов в течение всего сеанса работы с системами ДБО должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации, в случаях нарушения или разрыва соединения необходимо обеспечить повторное выполнение указанных процедур

Поскольку последний из перечисленных пунктов в конкретных реализациях всегда вызывает много вопросов, остановимся на вопросах идентификации и аутентификации более подробно

 

Страница: | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 |