Проблемы внедрения пластиковых карточек на примере Ставропольского банка Сбербанка
Страница 12
Особенностью такого подхода к обеспечению безопасности является создание защищенной среды обработки информации в пластиковой платежной системе, объединяющей разнородные меры противодействия угрозам (правовые, организационные, программно-технические). Система таких мер по обеспечению безопасности представлена в приложении 15.
Обеспечение безопасности в целом предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее функционирования, а также попыток хищения, модификации, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов системы:
- оборудования;
- программного обеспечения;
- данных;
- персонала.
Исключительно важное значение имеет конфиденциальность информации, т.е. свойство информации быть известной только допущенным и прошедшим проверку(авторизированным) субъектам системы (пользователям, программам, процессам и т.д.). Для остальных субъектов системы эта информация не существует.
Опасность несанкционированного доступа к базам данных и автоматизированным рабочим местам особо проявляется в процессинговых центрах. Чреват последствиями и доступ злоумышленников к автоматизированным рабочим местам, на которых совершаются операции по проведению и обработке транзакций по картам.
Для предотвращения несанкционированного доступа необходимо:
- периодически вносить изменения в базу данных сведений о пользователях, допущенных к работе в системе, их правах доступа к различным объектам системы и др.;
- документировать все изменения в базе данных;
- организовать систему заявок от должностных лиц организации на разрешение доступа тому или иному сотруднику к ресурсу системы. При этом ответственность за допуск сотрудника возлагается на соответствующее лицо, подписавшее заявку.
При этом каждый сотрудник обслуживающего персонала должен хорошо знать свои обязанности и нести ответственность за свои действия при работе в автоматизированной пластиковой системе.
Задача пользователя персонального компьютера или терминала состоит в том, чтобы обеспечить физическую целостность компьютера (терминала) во время сеанса работы с системой, а также не допустить разглашение собственного пароля.
Администратор баз данных несет ответственность за конфиденциальность информации в базах данных, доступа к ней, ее логическую непротиворечивость и целостность.
Руководитель отвечает за распределение обязанностей служащих в сфере безопасности обработки информации, предупреждение возможных угроз и профилактику средств защиты.
Все сотрудники банка, участвующие в той или иной мере в проведении операций по обслуживанию пластиковых карточек, обязаны их исполнять согласно правил, установленных для каждого рабочего места.
Если операция проводится с нарушением правил, она может быть признана недействительной. Причем материальная ответственность за совершение такой операции возлагается персонально на сотрудника, допустившего несоблюдение правил руководящих документов.
Ключевым превентивным элементом в борьбе с мошенничеством является обучение персонала и клиентов.
Как правило, обучение включает базовые вопросы безопасности при использовании пластиковой карточки, безопасность обращения с ПИН-кодом, порядок действий держателя в случае потери или кражи карточки, а также сведения о мере и рамках его ответственности.
Для достижения максимальной эффективности банки стремятся организовать непрерывное и разнообразное по формам и методам обучение персонала и держателей карточек.
В частности, держатели карточек обеспечиваются специальной литературой при выдаче карточки, получают небольшие сувениры с необходимой информацией, например, багажные бирки с телефонами, по которым держатель может незамедлительно сообщить о потере карточки или ее краже. В этих целях широко используются средства массовой информации.
Принимая во внимание , что для процессирования любой мошеннической транзакции необходимо участие предприятия обслуживания, обучение персонала в основном сфокусировано на определении попытки мошенничества согласно разработанным формам и методам службой безопасности банка.
Обучение периодически повторяется с целью закрепления учебного материала и приобретения уверенности в знаниях работающего персонала.
Безопасность пластиковой платежной системы во многом зависит от использования административных мер. Они включают:
- мероприятия, осуществляемые при подборе и подготовке персонала (проверка новых сотрудников, ознакомлением их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки, создании условий, при которых персоналу было бы невыгодно допускать злоупотребления и т.д.);
- организацию надежного пропускного режима;
- организацию учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;
- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения (сертификация используемых технических и программных средств, строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на соответствие требованиям защиты, документальное отражение изменений и т.д.)
Важнейшую роль в достижении максимальной безопасности системы пластиковых расчетов призвана играть служба безопасности банка, которая осуществляет контроль за проведением расчетов в пластиковой платежной системе и предотвращает попытки нанесения банку экономического ущерба.
Основная цель данного подразделения - предупредительный аспект по уменьшению риска, связанного с нанесением экономического ущерба и людских потерь. Ее реализация осуществляется посредством:
- знания оперативной обстановки региона и доведения ее до сотрудников;
- анализа и предупреждения фактов мошенничества с применением пластиковых карточек;
- выявления преступных посягательств на банк, его персонал, экономические интересы;
- проведения учебных занятий, семинаров, консультаций с персоналом банка и его клиентами;
- проверки, изучения деловых и личных качеств сотрудников банка;
- изучения потенциальных клиентов банка;
- осуществления плановых и внезапных проверок;
- контроля за эксплуатацией программного обеспечения и правильностью осуществления технологических процессов в автоматизированной системе с применением пластиковых карточек;
- мониторинга систем безопасности с целью контроля выполнения правил заданной политики безопасности;
- оперативного и адекватного реагирования на события, связанные с нарушением информационной безопасности.
При этом уполномоченные подразделения обязаны незамедлительно информировать руководство банка и контрольно-ревизионную службу обо всех случаях утраты карт, мошеннических операциях с картами и в случаях подозрения на мошенничество. Это позволяет в полной мере использовать процедуру оптимизации стоп-листа, предусматривающую изъятие утраченной карточки из обращения.
Неотъемлемой частью системы информационной безопасности платежной системы является системное и прикладное программное обеспечение автоматизации работ с пластиковыми карточками.
Во всех технологически сложных системах возникают нештатные ситуации, связанные со сбоями или отказами технических средств. Потенциально существуют угрозы того, что злоумышленники смогут воспользоваться побочными результатами этих нештатных ситуаций (потерями или искажениями стоп-листов, раскрытием секретных кодов и т.д.). В частности, в Сбербанке РФ с целью исключения этого не допускается использовать нелецинзированное системное программное обеспечение, запрещается также использовать неаттестованное программное обеспечение. Причем аттестованное программное обеспечение разрешается использовать при соответствии требованиям по информационной безопасности, после вычисления контрольных значений, с занесением в протокол аттестации.
Основные компоненты системы безопасности в Ставропольском банке Сбербанка России представлены схематично в приложениях 15, 16, 17.