Первая страница
Наша команда
Контакты
О нас

    Главная страница


Утвержден и введен в действие Приказом Ростехрегулирования




страница4/10
Дата01.07.2017
Размер2.38 Mb.
1   2   3   4   5   6   7   8   9   10
Частью программы обеспечения информационной безопасности должна быть программа по повышению осведомленности о безопасности с целью обучения служащих организации мерам защиты ценной информации. Программа предназначена оказывать позитивное влияние на отношение сотрудников к информационной безопасности. Повышение осведомленности сотрудников о безопасности должно осуществляться постоянно. Программа повышения осведомленности о безопасности должна предусматривать ознакомительный курс для новых сотрудников и сотрудников другой организации. В случае введения новых приложений или внесения значительных изменений в существующие приложения в данную программу целесообразно проводить обучение сотрудников. Данной программой также должно быть предусмотрено постоянное изучение проблем безопасности, появляющихся в прессе. Для различных уровней управления и кадровой структуры характерны разные проблемы безопасности. При обращении к каждому уровню необходимо учитывать их конкретные проблемы. Проблемы должны быть в такой форме представлены, чтобы работники всех уровней и с различными навыками смогли их понять. Управляющие делами должны быть осведомлены о внешних воздействиях, рисках и потенциале потерь, а также нормативных требованиях к информационной безопасности и требованиях аудита. Условие по осведомленности должно соблюдаться как в условиях бизнес-деятельности, так и в сфере ответственности управляющего делами. 9.7. Человеческий фактор Сотрудники представляют собой один из наиболее важных активов финансового учреждения. Заинтересованность и взаимодействие сотрудников очень важны для успешной реализации программы обеспечения информационной безопасности. Благодаря возросшей осведомленности о безопасности сотрудники станут более ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. внимательны и смогут замечать отклонения от выполнения норм информационной безопасности в технологических процессах или операционных процедурах организации, которые могут указывать на возникновение проблемы безопасности. С другой стороны, сотрудники могут совершать ошибки, неправильно использовать технологию, совершать преступные действия, что создает необходимость в переговорах руководителя службы обеспечения информационной безопасности со всеми отделами организации при разработке программы обеспечения информационной безопасности и повышения осведомленности сотрудников. Другие отделы могут вносить свой вклад в виде представления мнения о сотрудниках организации с целью минимизации вероятности ошибок и предотвращения криминальной деятельности. Некоторые должности в организации могут быть регламентированы как доверенные, так как эти должности дают право разрешать или запрашивать доступ к конфиденциальной кадровой или финансовой информации. Другую доверенную должность может занимать сотрудник, имеющий широкие полномочия или возможности, связанные с компьютерами или активами ИТ организации. Сотрудник, выбираемый на доверенные должности, должен отличаться высокой честностью и проходить проверку биографии. Сотрудники, занимающие доверенные должности, должны быть осведомлены о необходимости ограничения обсуждения с семьей и знакомыми конфиденциальных подробностей о бизнесе. Конкуренты по бизнесу могут пытаться прибегнуть к социотехнике или подстрекательству человека к раскрытию информации несанкционированным лицам, а также использовать ложный интерес человека к работе, технические дискуссии и лесть, чтобы побудить служащего нечаянно раскрыть конфиденциальную информацию. 10. Меры защиты систем информационных технологий 10.1. Защита систем информационных технологий Существует много способов обеспечения защиты систем ИТ. Меры защиты систем ИТ могут включать в себя политику организации. Однако, учитывая вопросы рассматриваемого раздела, меры управления и защиты систем ИТ будут представлены настройками системы и внешними мерами противодействия (например шифрование), которые могут использоваться для обеспечения аутентификации, санкционирования, конфиденциальности, целостности, доступности и других услуг безопасности. Применяемые в настоящее время меры противодействия и управления будут также обсуждены и в будущем. В дополнение к первоначальному размещению мер управления и противодействия внешним воздействиям организация должна предпринять шаги для обеспечения их долгосрочного функционирования и поддержки. Иначе с течением ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. времени, когда будут известны новые уязвимости, а установленные патчи - проигнорированы, безопасность системы ухудшится. Эффективно действующая программа обеспечения безопасности должна включать в себя процессы и процедуры поддержки, обеспечивающие наличие необходимых мер управления и защиты и их постоянное обновление. 10.2. Защитные меры аппаратных систем Защита аппаратных систем в среде ИТ является решающей предпосылкой для поддержания целостности информационных активов. Некоторые из наиболее важных мер управления защитой критических ресурсов приведены в Приложении D. Настоящий стандарт не содержит попытки включить в него список всех ресурсов ИТ, которые может использовать организация, а скорее содержит краткое обсуждение каждого из нескольких главных типов ресурсов, а также некоторые меры управления, которые могут использоваться для предотвращения угроз этим ресурсам (см. Приложение D, раздел D.1). Каждое обсуждение должно происходить по одной схеме и рассматривать ключевые вопросы, включающие в себя изучение следующих аспектов: - почему та или иная система является важной; - какие зоны безопасности могут быть наиболее важными; - какие меры управления должны быть рассмотрены. Одной из проблем, которой не уделяется должного внимания и которую организации иногда вообще игнорируют, является проблема производителей (поставщиков) аппаратных систем. Обычно принимается на веру, что производители (поставщики) оборудования действуют по поручению финансового учреждения и достаточно осведомлены о целях и политике безопасности. Однако есть вероятность, что аппаратные средства, поставляемые производителем или торговым посредником, могут быть сконфигурированы на предоставление несанкционированного доступа к информации или сетевым соединениям. Произвольное приобретение и случайное распределение аппаратных средств в сети могут содействовать защите от этого вида преднамеренной или непреднамеренной угрозы безопасности. Для применения аппаратных средств, требующих высокой степени безопасности, возможно следует рассмотреть меры управления, укрепляющие доверие между организацией и поставщиком. Проведение оценки аппаратных средств в соответствии с FIPS 140-2 [26] считается необходимым, в особенности в отношении криптографических устройств. Для других устройств при выборе и использовании прибора следует полагаться на оценки по соответствующим общепринятым критериям или специализированным профилям защиты. -------------------------------- FIPS 140-2 развивается как международный стандарт ИСОМЭК 19790 [35]. ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. 10.3. Безопасность систем программного обеспечения Поскольку современные финансовые учреждения полагаются на автоматизацию при обработке практически всех своих бизнес-операций, в основу программы обеспечения информационной безопасности должно быть положено обеспечение безопасности совокупности программ на носителях данных и программных документов, предназначенных для отладки, функционирования и проверки работоспособности автоматизированных систем [далее - программное обеспечение (ПО)]. Обеспечение безопасности систем ПО затруднено вследствие его сложности, множества его взаимодействий и разнообразных способов доступа к различным программам. Многие программы, подобные межсетевым экранам, веб-серверам и серверам приложений, предназначены для работы на многих аппаратных платформах. Безопасность систем ПО на высоком уровне рассматривается в Приложении A, раздел A.2. Кроме того, существует большое число работ, в которых подробно обсуждается вопрос обеспечения безопасности программ различных типов. 10.4. Меры защиты сетей и сетевых систем Хотя часто считается наиболее критичным вычислительный комплекс организации, включающий в себя конечные системы и различные виды серверов, большая часть трафика между системами проходит через сеть, которая не шифруется и не защищается. Значительная часть Интернета и специализированные линии многих компаний используют одинаковые открытые протоколы, системы маршрутизации и в некоторых случаях используют одни и те же сетевые устройства и коммутаторы с трафиком других компаний. Сетевой трафик уязвим к внешним атакам, связанным с изменением маршрутизации, копированием и сетевым анализатором пакетов , которые легко могут пройти полностью необнаруженными сетью и системами, использующими сеть и системы. Хотя шифрование часто рассматривается в качестве основного решения проблемы обеспечения безопасности, шифрование сетевого уровня может быть слишком дорогостоящим с точки зрения эксплуатации, пропускной способности и создания задержки информации для многих организаций. Даже в случае использования протоколов SSL, IPSEC и других протоколов безопасности связи, они не обязательно являются первым этапом обеспечения защиты сетевой безопасности. Для управления безопасностью сети следует обратить внимание на требования, изложенные в стандартах серии ИСОМЭК 18028. -------------------------------- Анализатор пакетов является программой, анализирующей информационные пакеты во время их перемещения по сети и осуществляющей поиск информации, которая может использоваться для совершения атаки, например, на содержание сообщений электронной почты, имена и пароли пользователей или сетевые адреса. ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. Первым этапом защиты часто является заключение соглашения между организацией и провайдером телекоммуникационных услуг с учетом доверия к этим провайдерам. Поэтому использование известных провайдеров телекоммуникационных услуг с четкими соглашениями об уровне сервиса и соблюдение положений контракта часто является первой и наиболее важной мерой защиты. Следующей наиболее важной мерой защиты сети является система мер защиты границ организации (см. 10.5), используемая для обеспечения безопасности, мониторинга и управления соединениями между внутренними и внешними сетями организации. 10.5. Меры защиты границ организации и ее связанности с внутренними и внешними сетями 10.5.1. Общие положения Анализ источников [1] - [26] показывает увеличение открытости корпоративных сетей. То, что когда-то было прочной, жесткой контролируемой границей организации, стало открыто для веб-сервисов, делового сотрудничества, поддержки сторонними организациями, а также для взаимодействия клиентов с системами регистрации, временных работников с работниками по договору, и для доступа сотрудников - как удаленного из дома, так и их внешних соединений с другими фирмами. Все увеличивающаяся проницаемость границы организации означает, что она и системы взаимодействия продолжают являться критическими элементами информационной безопасности организации. Проницаемость границы организации также означает, что все больше устройств являются местами возможного проникновения для злоумышленников. Необходимо рассмотреть возможность применения для данных устройств межсетевых экранов, систем обнаружения вторжения и, возможно, других мер защиты (см. конечные системы в Приложении D, раздел D.1). Все границы между организацией и более крупной средой с сетевой структурой являются критичными; любая граница представляет возможность угрозам совершить атаку, используя уязвимости систем организации. Организации должны определить собственную политику, касающуюся путей применения мер защиты границы. Например, организация может потребовать изолирования корпоративной сети для создания безопасной среды с высокой степенью защиты, например, такой, при которой все пользователи и конечные системы будут физически связаны внутри здания организации. С другой стороны, организация может обеспечить защиту всех своих активов в безопасной базе данных за защитным сервером веб-приложений, при помощи многоуровневых межсетевых экранов и программных средств обнаружения вторжения или строгой аутентификации пользователей. Что из этих средств защиты является приемлемым, зависит от активов организации, оценки риска и принятых политик. 10.5.2. Межсетевые экраны Межсетевые экраны представляют собой развитую технологию обеспечения ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. защиты границы на сетевом уровне. В то время как существуют варианты реальных возможностей и способов функционирования, все межсетевые экраны располагаются между граничным маршрутизатором или коммутатором, соединяющими предприятие с другими объектами или Интернетом, и внутренними сетевыми маршрутизаторами организации. Хорошо спроектированный межсетевой экран является необходимым элементом обеспечения защиты сети организации. Межсетевой экран осуществляет мониторинг сетевого трафика на основе адресации, портов, протоколов и, в некоторых случаях, содержания пакетов. Для многих организаций межсетевой экран открыт только для очень небольшого набора из всех доступных адресов, портов и протоколов. В качестве примера межсетевой экран, защищающий комплекс веб-сервера, может разрешать только протокол HTTP для порта 80 или протокол HTTPS для порта 443 (также известный как SSL). Другие обычные порты для FTP сервисов, SMTP (электронной почты) могут быть также открыты или закрыты в соответствии с потребностями и политиками организации. Многие организации применяют два уровня межсетевых экранов для создания так называемой демилитаризационной зоны. Веб-серверы и другие направленные вовне серверы и сервисы размещают между уровнями межсетевых экранов и переформатируют и перенаправляют запросы трафика на услуги или данные внутри более крупного предприятия. Внешний межсетевой экран может поддерживать только http трафик, тогда как внутренний межсетевой экран может разрешать SSH или другие сервисы для поддержки доступа к управлению веб-серверами или разрешать доступ веб-серверов к внутренним базам данных. Обычной практикой является использование межсетевых экранов двух различных типов (производителей) на внутренних и внешних позициях. Изначально межсетевые экраны считали программными средствами специального назначения или специальными устройствами, размещающимися на сетевом тракте и защищающими крупные участки организации. Межсетевые экраны были важным элементом прочности укрепленных периметров. В последние два-три года межсетевые экраны были включены в состав конечных систем, часто в качестве так называемых персональных межсетевых экранов. Обе тенденции - использование межсетевых экранов специального назначения для важных сетевых соединений и персональных межсетевых экранов на персональных компьютерах и других конечных системах - находятся в стадии развития. Новейшей тенденцией является комбинация функциональных возможностей межсетевых экранов с возможностью обнаружения вторжений. 10.5.3. Система обнаружения вторжений Межсетевые экраны часто принимают или отвергают соединения на основе адреса, порта и протокола. В пределах этих параметров может существовать множество возможных потоков данных, фактически являющихся атаками или вредоносными программами (вирусами), а также множество легальных потоков данных, предназначенных для поддержки легального бизнеса. Системы обнаружения вторжений рассматривают данные в пакетах и сравнивают их с характеристиками ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. известных атак. Затем системы обнаружения вторжений посылают предупреждения соответствующему персоналу организации при помощи электронного почтового сообщения, телефонного звонка или сообщения на пейджер. Существуют два основных вида систем обнаружения вторжения: первый - сетевые детекторы, подключенные к сетевым маршрутизаторам, коммутаторам и серверам и проверяющие трафик в сети; второй - детекторы на базе хоста, представляющие собой программное обеспечение, загруженное на серверы и конечные системы, проверяющие трафик, связанный с определенным устройством. Оба типа детекторов все шире используются в организациях . -------------------------------- Следует отметить, что в группе методов и средств обеспечения безопасности ИТ JTC 1SC 27 начата работа по определению стандарта ИСОМЭК 18043 [27]. Одним из главных недостатков систем обнаружения вторжения является зависимость от атак с известными характеристиками, тогда как новые атаки с неизвестными характеристиками могут пройти незамеченными. Системы обнаружения вторжения начались с поиска отклонений в поведении систем, например, с появления ftp трафика там, где обычно присутствует только http трафик, или появления трафика в необычное время или в необычных объемах. Эти возможности обнаружения отклонений становятся все более изощренными и сложными, но их ценность по- прежнему в основном не доказана. Тем не менее, многие организации и большинство поставщиков систем обнаружения вторжения начали внедрять аналитические возможности систем обнаружения вторжения или проводить анализ поиска отклонений не только на внешних границах, но также в самой сети организации. Некоторые аналитические средства зависят от других устройств для сбора данных, используемых для поиска отклонений. Существует тенденция к объединению систем обнаружения вторжений и межсетевых экранов; часто поставщик предлагает комбинированные средства, выполняющие функции межсетевого экрана и системы обнаружения вторжений. Данные комбинированные средства также используются в настоящее время - особенно если система обнаружения вторжений включает в себя свойства обнаружения отклонений для предотвращения вторжений. В этих новых системах предотвращения вторжений сетевое соединение, использованное для обнаруженной атаки, закрывается, чтобы остановить или предотвратить атаку до ее завершения. Хотя это является совершенно приемлемой практикой, существует возможность прохождения другого законного трафика через то же соединение. Каждая организация должна определить, перевешивает ли цена разрешения законного трафика убытки от возможного ущерба, нанесенного атакой. Данная субъективная оценка в отношении допущения возможных атак в сопоставлении с вероятным ущербом от атаки выявляет один из недостатков систем обнаружения вторжений. Практически любая система обнаружения вторжений выдает некоторое число ошибочных результатов, то есть в некоторых случаях система ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. обнаружения вторжений выдает предупреждение о трафике, выглядящим как атака, но в действительности являющимся легальным. Аналогичным образом существует (очень незначительная) вероятность того, что атака останется необнаруженной. Системы обнаружения вторжений обеспечивают организациям значительную гибкость в настройке систем с целью минимизации ошибочных результатов и ошибочных реагирований на атаки. 10.5.4. Другие защитные меры противодействия сетевым атакам Существует много других защитных мер по противодействию сетевым атакам. Для разных способов атак требуются разные меры противодействия. Например, бизнес- партнер может иметь прямое соединение с внутренней сетью, маршрут может быть проложен через один (а не через два) межсетевой экран. Маршрутизаторы и коммутаторы, составляющие внутренние сети организации, должны быть надежно защищены и хорошо управляемы. Многие функции межсетевого экрана действуют как защитный уровень после функций маршрутизации, уже выполненных сетевой инфраструктурой. Вне сети межсетевых экранов и систем обнаружения вторжения существуют две другие основные меры противодействия: шифрование и аутентификация. Очевидно, что шифрование может использоваться для защиты частной информации. Его можно выполнить на многих уровнях и во многих местах, но за конкретную цену. Данные меры противодействия должны оцениваться с учетом политики и ценности информации организации. Аутентификация может использоваться для идентификации устройств, а также пользователей устройств (включая пользователей программного обеспечения). Устройства можно идентифицировать, используя IPSEC, или (в некоторой степени) через протокол безопасности SSL. Конечный пользователь может быть аутентифицирован через SSL, хотя SSL не может реально аутентифицировать фактического пользователя - физическое лицо (некоторые браузеры, например, запоминают имена пользователей и пароли так, что сотрудник, использующий определенный компьютер и браузер для веб-сервера, будет казаться одинаковым). Использование различных факторов, а не только идентификатора пользователя и пароля, может улучшить качество аутентификации, но этого можно добиться также обладанием маркером или смарт-картой, секретным ключом, связанным с цифровым сертификатом, или отпечатками пальцев пользователя (или другими его биометрическими характеристиками). 11. Внедрение специальных средств защиты 11.1. Банковские карточки для финансовых операций 11.1.1. Общие положения Банковские карточки для финансовых операций могут быть карточками с ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. магнитной полосой, которые могут хранить информацию на магнитном носителе, или смарт-картами , способными обрабатывать информацию, выполнять криптографические функции и хранить гораздо больше информации, чем на магнитном носителе. Поскольку смарт-карты обладают большей гибкостью, чем карточки с магнитной полосой, в будущем может быть разработан и другой метод использования этих карт. О безопасности смарт-карт см. стандарты серии ИСО 10202. -------------------------------- Смарт-карта определяет класс устройств размера платежной карточки, имеющих различные функциональные возможности и мощности. Эти устройства выглядят практически так же, как карточки с магнитной полосой, используемые для стандартных кредитовых, дебетовых, банкоматных и кассовых операций, и включают в себя карты на интегральных схемах (ICC), карточки с хранимой суммой и бесконтактные карточки. Ассоциации пользователей финансовых карточек поддерживают собственные стандарты минимальной безопасности для финансовых учреждений и подрядчиков, предоставляющих услуги финансовым учреждениям. В дополнение к этим программам обеспечения безопасности организации, использующие банковские карточки для финансовых операций, должны применять перечисленные ниже меры защиты. 11.1.2. Физическая безопасность Для защиты от уничтожения, раскрытия или модификации информации на карточках для финансовых операций на стадиях обработки аппаратура персонализации карточек должна располагаться на территории, регулярно патрулируемой службами обеспечения правопорядка и обслуживаемой службами противопожарной защиты. Аппаратура должна быть защищена системой охранной сигнализации с автономным источником питания. 11.1.3. Злоупотребление со стороны инсайдеров Для предупреждения мошеннических операций, осуществляемых в результате доступа к информации на банковских карточках, все носители, содержащие значимую информацию о счетах, номера счетов, личные идентификационные номера, кредитные лимиты и состояние счетов, должны храниться в помещении, доступ к которому ограничивается персоналом службы информационной безопасности. Функции изготовления и выпуска карточек должны быть физически отделены от функций изготовления и выпуска персональных идентификационных номеров. 11.1.4. Перемещение личных идентификационных номеров Для предупреждения потерь из-за перехвата личных идентификационных номеров несанкционированными лицами с личными идентификационными номерами следует обращаться в соответствии с ИСО 9564-1-4 или ИСО 10202-1-8. Стандарты ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. серии ИСО 9564 определяют основные принципы и методы обеспечения мер минимальной безопасности, необходимые для эффективного международного менеджмента личных идентификационных номеров. Они также определяют методы защиты личных идентификационных номеров, применяемые для операций с использованием банковских карточек для финансовых операций в условиях режима реального времени, и средства обмена данными личных идентификационных номеров. Стандарты серии ИСО 9564 также распространяются на менеджмент и безопасность личных идентификационных номеров в условиях режима реального времени и условиях электронной торговли. Данные методы и средства должны использоваться организациями, отвечающими за внедрение методов менеджмента и защиты информации личных идентификационных номеров в банкоматах и финансируемых покупателями кассовых терминалах. Примечание. ИСО 13491-1 [5] определяет средства управления распределения ключей, необходимые для устройств, предоставляющих финансовые услуги (кассовые терминалы, банкоматы). Требования настоящего стандарта не распространяются на неприкосновенность данных об операциях, не имеющих личных идентификационных номеров, защиту личных идентификационных номеров от потерь или преднамеренного неправильного использования со стороны клиента или санкционированных служащих эмитента, защиту сообщений об операциях от изменений или замены, например реакцию санкционирования на верификацию личного идентификационного номера, защиту от воспроизведения личного идентификационного номера или операции, или определенные методы распределения ключей. Эти методы должны использоваться организациями, отвечающими за внедрение методов менеджмента и защиты персональных идентификационных номеров в банкоматах и финансируемых покупателями кассовых терминалах. Стандарты серии ИСО 10202 определяют принципы защиты интегральных микросхем в течение их жизненного цикла от производства и выпуска, использования клиентами и служащими до истечения срока службы. В стандартах серии ИСО 10202 также определяется минимальный уровень безопасности, требуемый для обмена, наряду с опциями безопасности, позволяющими эмитенту банковской карточки для финансовых операций или поставщику выбирать уровень безопасности, соответствующий политике приложений. Взаимосвязь с криптографическими ключами, надлежащее использование криптографических алгоритмов и методы распределения ключей, необходимые для обеспечения безопасности обработки финансовых операций, также определяются в стандартах серии ИСО 10202. В них также описываются требования безопасности для модулей приложений, которые могут быть добавлены к устройству считывания карточек. 11.1.5. Персонал Для исключения обработки кредитных карточек персоналом, не имеющим права ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. обработки, должны проводиться кредитные проверки и проверки уголовного прошлого всех служащих, имеющих дело с проштампованными или неиндоссированными карточками там, где это допускается нормативно-правовыми документами в области обеспечения безопасности, включая сотрудников, занятых неполный рабочий день, и временных работников. 11.1.6. Аудит Для обеспечения целостности управляющей и регистрационной информации требуется мерами защиты и с использованием журнала аудита сохранять информацию о номерах счетов владельцев карточек и используемом оборудовании на пластиковых карточках с отпечатанными данными, в печатных формах, штамповочном и шифрующем оборудовании, на защитной фольге, голограммах, магнитной ленте, полуфабрикатах карточек и готовых карточках, карточках образцов. 11.1.7. Предупреждение подделки карточек Для предупреждения создания фальшивых карточек с магнитной полосой использования информации, отражаемой на товарных чеках, должны быть зашифрованы цифры криптографической проверки, и эти цифры должны быть подтверждены как можно большему числу операций. Для предупреждения создания фальшивых карточек с использованием перехваченной информации необходимо использовать физический метод идентификации карточки с целью подтверждения ее подлинности. 11.1.8. Банкоматы Банкоматы представляют собой устройства, позволяющие клиенту проверять остаток на счете, изымать и вносить наличные, оплачивать счета или осуществлять другие функции, которые обычно ассоциируются с банковскими кассирами. Данные устройства могут находиться внутри зданий организации, размещаться за пределами такого здания или располагаться вдалеке от помещений организации. Рекомендуются дополнительные меры предосторожности для снижения возможности ограбления клиентов и вандализма в отношении устройств, но они не рассматриваются в настоящем стандарте. Производители данных устройств и поставщики сети банкоматов обычно издают руководства по безопасности пользования банкоматами. Рекомендуется изучить эти документы. При работе с банкоматами необходимо соблюдать требования безопасности, которые определены в процедурах оплаты по карточкам. 11.1.9. Идентификация и аутентификация владельцев карточек Наиболее распространенным средством аутентификации владельца карточки является PIN. Он используется для управления доступом к банкоматам и кассовым терминалам. Пользователи должны знать, что обеспечение секретности персонального идентификационного номера является их обязанностью. В дополнение к ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. персональному идентификационному номеру для идентификации владельцев карточек начинают применяться проверка биометрических данных и другие технологии. Для предотвращения несанкционированных операций, вызванных угадыванием личного идентификационного номера карточки, используемых несанкционированным лицом, число попыток ввода личного идентификационного номера должно быть не более трех. После трех неудачных попыток рекомендуется задержание карточки и установление контакта с ее владельцем. 11.1.10. Аутентичность информации Для предотвращения несанкционированного изменения информации, передаваемой в банкомат и из него, при каждой передаче следует требовать использования кода аутентификации сообщений, созданного в соответствии с требованиями ИСО 16609 и распространяемого в соответствии с требованиями стандартов серии ИСО 11568. Для предупреждения несанкционированного изменения, уничтожения или раскрытия информации, хранящейся в банкомате, физический контроль доступа к внутренней части банкомата должен соответствовать физическим средствам контроля защиты на денежных контейнерах. 11.1.11. Раскрытие информации Для предотвращения несанкционированного использования банкоматов или кассовых терминалов посредством несанкционированного раскрытия информации о личном идентификационном номере, вводимом пользователем, должны использоваться только устройства с шифрующими клавиатурами, соответствующие требованиям стандартов серии ИСО 9564 [28]. Следует рассмотреть возможность шифрования всей информации, передаваемой из банкомата. Управление личными идентификационными номерами должно осуществляться в соответствии с требованиями международных стандартов. 11.1.12. Предупреждение мошеннического использования банкоматов Для обнаружения и предотвращения мошеннического использования банкоматов, например подделки чеков, депозиты пустых конвертов или дезавуированные операции, рекомендуется целый ряд практических приемов. Данные приемы оправдываются в случае включения ограничения числа операций и суммы денежных средств, снимаемых в день с одного счета, ежедневного подведения баланса банкомата под двойным контролем, установки видеокамер, где вероятность совершения мошенничества велика, а также обеспечение поддержки работы банкомата в режиме он-лайн, где это возможно, то есть требование, чтобы банкомат имел возможность проверки состояния счета до совершения операции. Если работа в данном режиме невозможна, следует установить более строгие требования к выпуску карточек, чем в случае работы в режиме он-лайн. 11.1.13. Техническое обслуживание и текущий ремонт Для предотвращения несанкционированного доступа к информации во время ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. технического обслуживания и технического ремонта банкоматов следует убедиться, что для клиентов банкоматы находятся в состоянии оф-лайн перед проведением любого технического обслуживания. Для текущего ремонта банкоматов, включающего в себя открытые хранилища, необходимо установить процедуры двойного контроля. 11.2. Системы электронного перевода платежей 11.2.1. Несанкционированный источник Угрозы и средства контроля, связанные с применениями электронного перевода платежей, могут оцениваться независимо от технологии, которую они используют. Для предотвращения потерь из-за принятия запроса о платежах от несанкционированного источника необходимо аутентифицировать источник сообщений, запрашивающих перевод платежей. Аутентификация источника должна быть основана на процедуре обеспечения безопасности, определенной в договоре с клиентом или корреспондентом. Применение этого средства контроля рекомендуется при условии целесообразности затрат на проведения криптографической аутентификации. Криптографическая аутентификация обеспечивается кодом аутентичности сообщений, генерируемым в соответствии с требованиями стандартов серии ИСО 16609, с помощью криптографического ключа, распределенного в соответствии с требованиями ИСО 11568. В качестве альтернативы для установления подлинности источника сообщения может быть использовано успешное дешифрование сообщения, зашифрованного в соответствии со стандартами серии ИСОМЭК 18033 (в соединении с ИСО ТО 19038 [29], или ANSI X.9.52 [30], или FIPS 197 [31]) ключом, распространяемым в соответствии со стандартами серии ИСО 11568. Также может использоваться цифровая подпись. 11.2.2. Несанкционированные изменения Для предотвращения неправильного платежа из-за преднамеренного или случайного изменения содержания сообщения необходимо удостоверить дату платежа, дату зачисления денег, сумму, национальную валюту, имя бенефициария и, возможно, номер счета бенефициария или IBAN-компоненты сообщения, используя процедуру обеспечения безопасности, определенную в договоре с клиентом или корреспондентом. Там, где это осуществимо, следует использовать полную аутентификацию текста. Рекомендуется применение криптографической аутентификации. 11.2.3. Воспроизведение сообщений Для предотвращения несанкционированного повторного платежа, вызванного повторным введением сообщения, следует настоять на использовании и верификации уникальной идентификации сообщения. Рекомендуется включать эту идентификацию в любую проводимую аутентификацию. 11.2.4. Сохранение записей ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. В целях сохранения свидетельств, которые могут потребоваться для доказательства санкционирования при совершении платежа, регистрируйте сообщения с запросом о переводе платежей независимо от носителей, используемых для передачи сообщений. Следует сохранять материал, необходимый для подтверждения аутентификации, включая вспомогательный криптографический материал. 11.2.5. Правовая основа платежей Для гарантии осуществления платежей в соответствии с подписанным договором, следует создать систему обеспечения наличия и корректности договоров, лежащих в основе запросов об электронном переводе платежей. 11.3. Банковские чеки 11.3.1. Общие положения Банковские чеки, также известные как платежные приказы и средства сберегательного счета клиента в банке, представляют собой письменные распоряжения, предписывающие финансовому учреждению выплатить деньги. Новые методы обработки чеков должны усилить озабоченность финансовых учреждений проблемами безопасности. Повышение престижа банковского чека и других средств сокращения процедуры работы с банковскими документами является примером методов, создающих проблемы с безопасностью. Национальными организациями многих стран были разработаны и опубликованы национальные стандарты по различным аспектам операций обработки чеков . -------------------------------- Подкомитетом B X9 (США) были опубликованы стандарты по операциям обработки чеков, например ANSI X9 TG-2. Понимание и разработка чеков и ANSI X9 TG-8 Принципы безопасности чеков. Для согласованного действия финансовых учреждений и улучшения качества обработки этим финансовым учреждениям настоятельно рекомендуется следовать указаниям Технического руководства 2 (TG-2) X9 и Технического руководства 8 (TG-8) X9. 11.3.2. Новые клиенты Требование знай своего клиента создает особые проблемы, если услуги предоставляются через открытую сеть. Как бы ни были заманчивы услуги с применением базовой веб-страницы или другого электронного носителя, личное посещение офиса финансового учреждения остается необходимым условием для открытия нового счета (за исключением действия в соответствии с юридически установленным методом), пока не будет доступен повсеместно признанный и имеющий исковую силу электронный метод позитивной личной идентификации. Следует соблюдать обычные процедуры оценки квалификации клиентов. 11.3.3. Вопросы целостности ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. Каждая финансовая операция должна быть защищена с целью гарантирования идентификации, аутентичности пользователя, аутентичности сообщения, конфиденциальности информации ограниченного доступа и неотказуемости операций. Запросы на финансовую операцию должны быть снабжены цифровой подписью с использованием ключа, санкционированного органом сертификации организации. При надлежащей реализации данной меры возможна гарантия, что пользователь идентифицирован, содержание сообщения не изменено и пользователь связан юридическими обязательствами в своих действиях. Номера счетов, личные идентификационные номера или другие сведения, которые в случае их раскрытия сделают возможным несанкционированное использование счета, должны быть защищены с помощью шифрования.
1   2   3   4   5   6   7   8   9   10

  • 10. Меры защиты систем информационных технологий
  • 11. Внедрение специальных средств защиты