Защита информации при использовании электронных платежных систем

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Оглавление

Введение

Глава 1. Основные понятия и определения электронных платёжных систем

1.1 Информационная безопасность

1.2 Общая характеристика электронных платежных систем, их виды

1.3 Угрозы, характерные для электронных платежных систем

Глава 2. Мероприятия по защите информационной структуры центра авторизации платежных карт

2.1 Структура платежных систем и методы обеспечения безопасности информации

2.2 Методы обеспечения безопасности информации

2.3 Методы защиты информации при ее передаче между удаленными пользователями и центральными серверами

2.4 Организационные меры по обеспечению информационной безопасности

Глава 3. Внедрение дополнительных средств защиты при использовании электронных платёжных систем

Заключение

Список источников информации

Введение

Электронные расчеты как вид безналичных расчетов появились во второй половине XX века. Они приобрели принципиально новое качество, когда на обоих концах линии связи появились компьютеры. Качественный скачок выражался в том, что скорость осуществления платежей значительно возросла и появилась возможность их автоматической обработки. В дальнейшем появились электронные эквиваленты различных классических платежных средств.

Коммерческая деятельность в электронных сетях снимает многие физические ограничения. Компании, подключая свои компьютерные системы к Интернету, способны предоставлять своим клиентам услуги 24 часа в сутки без праздников и выходных. Заказы на продукцию могут приниматься в любое время из любого места. В электронной коммерции все документы создаются в цифровом виде и с помощью различных приложений обрабатываются и передаются в сеть.

К сожалению, компьютерная сеть в качестве посредника между продавцами, покупателями и их банками доступна как для правомерных акций, так и для злоумышленных несанкционированных действий. Сделать «посредника» как можно более надежным - это одна из важнейших и в то же время самая трудная задача разработки. От качества решения задачи обеспечения безопасности совершаемых по сети финансовых транзакций во многом зависят темпы и перспективы развития электронной коммерции.

Вступление России в Интернет-бизнес несколько запоздало по сравнению с развитыми зарубежными странами, однако, во-первых, это отставание не столь велико, а во-вторых, у него есть положительные моменты. Это отставание по востребованности Интернет-технологий, используемых в электронной коммерции, позволяет не допускать повторения ошибок зарубежных компаний, занимающихся разработкой ПО для электронной коммерции. Имеются в виду в первую очередь ошибки, связанные с информационной безопасностью, следствием которых становятся возможным различного рода мошенничества.

Таким образом, при создании и модернизации автоматизированных систем обработки информации в банковских и платежных системах необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящен данный дипломный проект, так как эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы, то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных банковских и платежных систем требуют постоянного обновления.

В работе рассматриваются особенности информационной безопасности коммерческих систем, показывается, что именно для банков (в отличие от других предприятий) информационная безопасность имеет решающее значение. Рассмотрены методы защиты платежных систем.

Актуальность и значимость выбранной темы объясняется многообразием видов электронных платежных средств и желанием разобраться в их отличительных чертах.

Цель ДП - изучить способы защиты электронных платежных средств.

Задачи ДП:

- рассмотрение видов и основных характеристик существующих электронных платёжных систем;

- изучение существующих мер защиты информации при осуществлении электронных платежей.

Объект исследования - организация защиты информации при использовании электронных платёжных систем.

Предмет исследования - электронные платёжные системы.

Глава 1. Основные понятия и определения электронных платёжных систем

1.1 Информационная безопасность

Успешное развитие современных платёжных систем требует тщательно разработанной программы развития и интеграции всех составляющих их инженерной инфраструктуры: информационных технологий, телекоммуникаций и защиты информации.

Развитие платёжной инфраструктуры требует значительных финансовых вложений в программно-аппаратные средства. Учитывая, что в базах центров авторизации платежных карт содержится информация, полная или частичная потеря которой неизбежно приведет к значительным, а в ряде случаев невосполнимым финансовым потерям, которые могут быть выше, чем средства, потраченные на создание самой системы, необходимо обеспечить надежную защиту всех её компонентов.

Для создания системы защиты информации предлагается использовать комплексный подход, а именно: создание "Единого пространства информационной безопасности", как комплекса взаимосвязанных и постоянно взаимодействующих технических, организационных и нормативно-правовых подсистем. Необходимым условием функционирования таких подсистем есть создание политики безопасности. Согласно международным рекомендациям за безопасность работы всех служб центров авторизации должны отвечать сотрудники службы безопасности.

Специалисты по информационной безопасности обязаны:

- обеспечить точный и полный контроль над предоставлением привилегий доступа на базе инструкций для каждого информационного ресурса и в соответствии с применяемой внутренней политикой безопасности, директивами и стандартами;

- быть информированными обо всех изменениях, связанных со статусом сотрудников, увольнением, переходом, или изменением должностных обязанностей;

- постоянно проводить мониторинг действий пользователей с привилегиями высокого уровня;

- удалять привилегии немедленно, как только они больше не требуются;

- ежедневно проводить мониторинг попыток доступа, для выявления критичных для безопасности событий, типа попыток несанкционированного доступа, которые могут угрожать целостности, конфиденциальности, или работоспособности системы;

- докладывать обо всех попытках несанкционированного доступа к общим информационным ресурсам для проведения расследования и принятия мер;

- организовать доступ так, чтобы каждый пользователь системы был определен уникальной идентификационной последовательностью (USERID), созданной только для этого пользователя;

- требовать для каждого процесса доступа к критичным информационным ресурсам аутентификацию пользователя;

- собирать, защищать, проводить аудит всей доступной журнально-протокольной информации.

Таким образом, на всех стадиях внедрения информационных технологий комплексно решается вопрос защиты информации, предоставляется подход для юридического решения споров между пользователями информационных технологий, разделение обязанностей между подразделениями, четко определяются границы ответственности между должностными лицами.

Цель информационной защиты - обеспечение надежной, корректной и безопасной работы всех компонентов платёжной системы, что подразумевает создание надежных и удобных механизмов регламента деятельности служб, пользователей и обслуживающего персонала, соблюдение дисциплины доступа к ресурсам информационной системы.

Для защиты информации ЭПС необходимо использовать комплексный подход, а именно: создание защищенной среды для обработки информации, которая объединит разнообразные (правовые, организационные, программно-технические) средства для отражения любой угрозы.

Основными особенностями информационных сетей (ИС) ЭПС является неоднородность их компонентов, включая используемые операционные системы и прикладные программы. Программно-аппаратные средства для систем авторизации, клиринговых систем и систем мониторинга служат сервера баз данных. Многочисленные приложения на рабочих станциях в основном работают в операционной среде WINDOWS, но могут использоваться другие операционные системы (OS/2 и т.д.), терминалы, для файловых серверов могут применяться ОС WINDOWS-NT/2000, LINUX. В качестве средств маршрутизации и коммутации чаще всего используются продукты CISCO, однако могут быть использованы продукты других фирм.

Взаимодействие служб ЭПС осуществляется на базе TCP/IP протокола, используя сети компаний провайдеров телекоммуникационных услуг или выделенные каналы связи. Подключение банкоматов осуществляется на базе протоколов TCP/IP и Х.25, используя сети компаний провайдеров телекоммуникационных услуг или выделенные каналы связи. Взаимодействие с сетью POS-терминалов реализуется через коммутируемые каналы связи.

1.2 Общая характеристика электронных платежных систем, их виды

Стремительное развитие сети Интернет привело к появлению огромного количества интернет - магазинов и других интернет - проектов, оказывающих услуги конечному пользователю. Как следствие, встал вопрос о способе оплаты этих товаров и услуг. Как наиболее простое и удобное средство были предложены так называемые цифровые (электронные) деньги - электронные платежные средства, представленные и обращаемые в электронном виде, оборот которых гарантирует анонимность.

О таком термине, как «электронные деньги», мы узнали относительно недавно. Их бурное развитие началось в 1993 году, а уже спустя 10 лет, согласно проведенным исследованиям, электронные деньги стали использоваться в 37 странах мира. Это и неудивительно, ведь они позволяют быстро осуществлять взаиморасчеты с корреспондентами, которые могут находиться практически в любой точке земного шара.

Сегодня системы электронных денег разнообразны. Каждая из них обладает своими особенностями, преимуществами и недостатками. А так как без использования электронных денег современному человеку точно не обойтись, важно знать о том, каким образом функционируют платежные системы такого типа, когда и как они могут облегчить нам жизнь, и какие типы электронных денег существуют на сегодняшний день.

«Электронные деньги» или электронные платежные средства -- денежные обязательства эмитента в электронной форме, учет которых осуществляется на специальном устройстве, например -- микропроцессорной карте или на жестком диске персонального компьютера т.е. «сетевые деньги», «цифровая наличность» или «цифровые деньги».

Электронные платежные системы (ЭПС) - это сервисы, позволяющие производить прямые расчеты между контрагентами посредством электронного соединения.

Любая электронная платежная система обеспечивает ряд преимуществ своих электронных денег по сравнению с деньгами традиционными, ведь переводы и платежи внутри электронной платежной системы обладают:

- доступностью - любой пользователь имеет возможность открыть собственный электронный счет;

- мобильностью - вне зависимости от места своего нахождения пользователь может осуществлять любые финансовые операции со своим счетом;

- безопасностью - храня свои сбережения в электронном виде, можно не бояться, что они выпадут через дырку в кошельке или их насильно отберет какая-нибудь криминальная личность. Разумеется, мошенники и аферисты обосновались и тут, но если придерживаться определенных мер предосторожности, об этом можно не переживать - 128 битное шифрование, привязка к номеру мобильного телефона или “железу” компьютера и другие современные способы защиты сделают свое дело;

- простотой использования - для открытия и использования электронного счета не требуется специальных знаний;

- оперативностью - перевод средств со счета на счет происходит в считанные минуты;

- выгодностью - чтобы оплатить счет за интернет или пополнить счет на мобильном телефоне в терминале или банкомате можно только заплатив приличные комиссионные. С платежной системой такого не будет, комиссия снимается только за сам перевод и редко когда достигает даже 1% от общей суммы;

- полным контролем - платежные системы позволяют быть в курсе всех своих трат, ведь история операций сохраняется и ее можно просмотреть в любое время, просто зайдя в соответствующий раздел своего профиля.

К недостаткам электронных платежных систем в современных российских условиях следует отнести:

- неразвитую инфраструктуру хранения и трансферты электронных средств;

- зависимость пользователей от аппаратных средств и коммуникаций;

- некоторые платежные системы находятся вне правовой зоны;

- низкую безопасность;

- конфиденциальность - все операции и переводы, которые вы совершаете, фиксируются на серверах платежной системы. В некоторых случаях, для доступа ко всем возможностям, пользователю предлагается предоставить свои персональные данные (идентификационный код, паспорт, иногда другие документы). Государственные налоговые службы могут без проблем получить доступ ко всей информации.

Универсальная карточная платежная система может состоять из следующих участников:

- банки или финансовые компании, являющиеся эмитентами карт;

- клиенты банка-эмитента или держатели карт;

- эквайеры - банки или финансовые компании, выдающие по картам наличные, производящие расчеты с предприятиями торговли и сферы услуг, принимающими карты к оплате;

- организации торговли и сферы услуг - POS (pointofsale);

- процессинговые компании или расчетно-процессинговые центры; расчетный банк.

Клиент подписывает с банком соглашение о порядке использования карточки, после чего банк открывает клиенту карточный счет, изготавливает карты, присваивает ей номер и заносит на нее номер, имя держателя, срок действия и другую информацию. Эта же информация заносится в базу данных.

При внесении денег на карточный счет клиент (держатель карты) заполняет платежный документ, копию которого он оставляет у себя. При снятии денег проверяется состояние счета клиента на наличие на счете необходимой суммы. У клиента при этом остается чек, как подтверждение снятия им денег. Все движения по счету отображаются в базе данных.

В зависимости от типа карты, используемой клиентом, схема работы может отличаться. В случае работы с магнитной картой необходимо перед проведением каждой операции проверять состояние счета, связываясь с процессинговой компанией, так как на карте находятся только идентификационные данные, а вся информация о движении по счету хранится в базе данных.

Функции центра авторизации может брать на себя банк-эмитент и банки - эквайеры. В случае использования смарт-карты информация о состоянии счета и PIN-код хранятся в самой карте. В банке по этому счету блокируется сумма, записанная на карту. Эта заблокированная сумма доступна для снятия только с помощью карты.

Следует отметить, что остаток по счету в банке не всегда равен остатку, записанному на карте. Незаблокированная сумма пополнятся при приходе средств на счет клиента, с нее также возможны списания по поручению клиента, например, для осуществления коммунальных платежей - такой вид карты получил название - «электронный кошелек». Есть и другие виды электронных кошельков, в которых хранится электронная наличность. В момент совершения операций по карте осуществляется только проверка «электронного кошелька».

При оплате товаров или услуг при помощи смарт-карты, продавец проводит операцию авторизации карточки с помощью POS терминала. После проверки по стоп - листу происходит обработка платежа в режиме off-line (без связи с банком). Корректировка остатка по счету происходит в базе данных банка.

Для пополнения «электронного кошелька» со счета в банке клиенту необходимо явиться в отделение банка, где будет проведена данная операция. При этом часть средств будет заблокирована.

Следует отметить, что на текущий момент наиболее распространенными все-таки являются схемы работы с магнитными картами. Однако в настоящее время стало очевидным, что перспективной является именно технология расчетов со смарт-картами.

Кратко электронные платежные системы (ЭПС) можно описать как технологию прямых взаиморасчетов между участниками сделки без дополнительных условностей (межбанковские переводы, указание личных данных и пр.) посредством Интернета. В сочетании с оперативностью, применение ЭПС поспособствовало резкому развитию электронной коммерции. Сегодня ЭПС - удобный способ расчетов для операторов сотовой связи, Интернет-провайдеров, крупных магазинов и др. Электронные деньги (ЭД) прошли три этапа развития. Первый этап - магнитные кредитные и дебетовые карты с широким использованием ЭПС. Второй этап - внедрение смарт-карт (с хранимой суммой). Эти ЭД не заменили их владельцам наличность, а лишь сделали распоряжение банковскими счетами более эффективным. Так основной смысл ЭД приобрел новое значение: сочетания преимуществ наличного и электронного оборота денежной массы. Третий этап развития электронной денежной формы - «сетевые деньги» - уже позволили осуществлять «он-лайн» платежи. Сегодня в качестве ЭПС применяется несколько основных технологий платежных систем:

1. Использование кредитных схем - в основе кредитных платежных систем лежит использование кредитных карточек. При разовых покупках карточка действует так же, как при обычной покупке в магазине: клиент покупает товар или услугу и передает продавцу для оплаты номер своей кредитной карточки, только происходит всё через Интернет. Такой способ передачи данных обязывает к применению дополнительных мер безопасности (шифрование обмена сообщениями, цифровая подпись и т.д.). Схема проведения платежей через Интернет выглядит следующим образом:

- покупатель на странице электронного магазина выбирает товар или услугу, формирует «корзину» покупок и выбирает способ оплаты "кредитная карта";

- реквизиты карты (номер, имя владельца, дата окончания действия) передаются платежной системе Интернет для авторизации. При этом параметры кредитной карты могут вводиться как на сайте магазина (после этого они будут переданы на сервер платежной системы), так и непосредственно на сервере платежной системы. Для покупателя второй способ считается более безопасным, т.к. в этом случае снижается риск «утечки» сведений о карте;

- платежная система Интернет передает запрос на авторизацию в процессинговый центр платежной системы, который и производит авторизацию карты;

- результат авторизации передается платежной системе Интернет;

- продавец и покупатель получают результат авторизации;

- при положительном результате авторизации:

· магазин оказывает услугу, или отгружает товар;

· процессинговый центр передает в расчетный банк сведения о совершенной транзакции. Деньги со счета покупателя в банке-эмитенте перечисляются через расчетный банк на счет магазина в банке-эквайере.

К преимуществам этого способа оплаты можно отнести:

- адаптированность к условиям существующих расчетных схем;

- привычность для клиентов и правовая определенность;

- достаточно высокая защищенность конфиденциальной информации за счет использования протокола HTTPS. В соответствии с этим протоколом номер карточки, передаваемый по сети, шифруется. Дешифровку смогут осуществлять только уполномоченные банки и процессинговые компании. Этот протокол должен обеспечить защиту клиентов от недобросовестных продавцов и защиту продавцов от мошенничества при помощи поддельных или краденых карточек;

- простота использования.

В числе недостатков можно назвать:

- неразвитость рынка кредитных карт в России;

- транзакция по кредитной карте через Интернет с точки зрения платежных систем сетей является "транзакцией без физического присутствия владельца", и как следствие того, повышается риск возможности перехвата личной и банковской информации во время транзакции, что требует повышенной степени защиты;

- относительно высокая стоимость транзакции: в среднем магазин уплачивает процессинговой компании 3-6% от суммы операции;

- временная задержка в 3-14 дней при переводе денег;

- необходимость ведения страховых депозитов (20-70% оборота), сложная и дорогая процедура осуществления возврата денег;

- необходимость проверки кредитоспособности клиента и авторизации карточки, повышающая издержки на проведение транзакции и делающая системы неприспособленными для микроплатежей;

- отсутствие анонимности и, как следствие, навязчивый сервис со стороны торговых структур.

2. Использование дебетовых схем - Дебетовые карточки могут использоваться при оплате товаров и услуг через Internet в режиме он-лайн так же, как при получении наличных в банкомате: для совершения платежа клиент должен ввести номер карточки и PIN-код. Однако на практике этот вариант используется редко. Гораздо шире распространены электронные чеки. Электронный чек, как и его бумажный аналог, содержит код банка, в который чек должен быть предъявлен для оплаты, и номер счета клиента. Клиринг по электронным чекам осуществляют различные компании, например CyberCash. К категории дебетовых схем можно отнести и расчеты с помощью электронных кошельков, для которых предусмотрен клиринг транзакций, в том числе с помощью виртуальных электронных кошельков (сумма хранится в этом случае на жестком диске компьютера). Главное достоинство дебетовых схем состоит в том, что они избавляют клиента от необходимости платить проценты за кредит. Отсутствие поддержки солидных фирм на уровне безопасности - вот одна из причин непопулярности дебетовых схем расчетов. Тем не менее, в секторе мелких платежей, где проблема безопасности стоит не столь остро, дебетовые схемы (к которым также применим механизм сбора транзакций) могут успешно конкурировать с кредитными. Использование электронных кошельков - это специальная программа или интернет-сервис, которые позволяют хранить электронные деньги и выполнять электронные расчеты. На просторах СНГ наибольшую популярность получили такие системы:

- WebMoney;

- Яндекс Деньги;

- PayPal;

- QIWI-кошелек;

- Easy Pay;

- Perfect Money;

- СбербанкОнлайн.

Каждый электронный кошелек имеет сильные и слабые стороны, их необходимо учитывать перед тем, как отдавать предпочтение той или иной системе. Теперь рассмотрим каждый сервис по отдельности.

- WebMoney - одна из старейших систем на просторах СНГ. Она была создана в 1998 году и с тех пор успела завоевать огромную аудиторию. Сервис работает с различными валютами: долларами, гривнами, российскими и белорусскими рублями, евро и другими, под каждую из которых можно создать отдельный кошелек. Кроме этого, есть специальный интернет-модуль для золота.

Рисунок 1. Электронный кошелёк «WebMoney»

Использовать WebMoney относительно просто. Для того, чтобы увеличить список операций, необходимо получить аттестат. Сделать это можно абсолютно бесплатно (если речь идет о формальном документе), для процедуры необходимо заполнить анкету и загрузить сканированные копии паспорта и банковской карты. Перевод титульных знаков совершается после того, как введен номер кошелька.

WebMoney имеет многоступенчатую систему защиты, каждая операция подтверждается специальным СМС-кодом. Совсем недавно было выпущено специальное приложение для мобильных платформ, которое позволяет использовать WebMoney на телефонах и планшетах.

- Яндекс Деньги - online-кошелек, который наиболее популярен в России. Основной недостаток сервиса - он работает только с российскими рублями. Количество различных услуг, которые можно оплачивать с помощью системы (их список постоянно растет) и ее простота - основные преимущества.

-

Рисунок 2. Электронный кошелёк «Яндекс.Деньги»

Незарегистрированные пользователи могут платить по счетам и квитанциям на сервисе Городские платежи от Яндекс.Денег. У владельцев электронных кошельков есть дополнительные возможности -- выпустить к счёту банковскую карту, настроить напоминания. К апрелю 2014 года в Яндекс.Деньгах было зарегистрировано 18 млн кошельков, ежедневно открывается около 12 тысяч новых. По данным исследовательской компании TNS Россия на 2014 год, Яндекс.Деньги являлись самой популярной и самой известной системой электронных денег в России: 22 % россиян в возрасте 12--55 лет хотя бы раз в полгода совершают оплату Яндекс Деньгами, а бренд хорошо известен 87 % жителей российских городов.

- PayPal - умный кошелек, который работает с огромным количеством валют (более 26). Главной особенностью является простота в использовании, гарантия как для продавца, так и для покупателя (если речь идет о покупках) и множество другого. С 2013 года появилась возможность выводить деньги на счета российских банков.

Рисунок 3. Электронный кошелёк «PayPal»

По состоянию на 2012 год PayPal работал в 190 странах (хотя не во всех предоставлялся полный набор услуг), имел более 164 млн. зарегистрированных пользователей, работал с 24 национальными валютами.

В случае оплаты покупок важнейшей особенностью PayPal является предоставление гарантий безопасности, как покупателю, так и продавцу. Для российских пользователей PayPal возможность приёма платежей на счёт появилась лишь в октябре 2011 года, и на текущий момент вывод средств со счёта для российских пользователей возможен на счета в российских банках. Для наибольшего охвата клиентов и предоставления качественных услуг компания PayPal планирует начать сотрудничество с «Почтой России»

- QIWI-кошелек - Основная особенность QIWI-кошелька - возможность работы, как через стандартные каналы - интернет, мобильный телефон, так и через платежные терминалы, огромное количество которых установлено в России.

Рисунок 4. Электронный кошелёк «QIWI-кошелек»

Преимущества платежной системы «QIWI Кошелек»:

- отсутствие комиссии за оплату услуг и ввод средств;

- широкие возможности пополнения счета и интеграции с популярными электронными платежными системами;

- одновременная возможность работы с системой через мобильный телефон, смартфон, КПК или веб-интерфейс;

- возможность проведения платежей с помощью SMS при отсутствии GPRS-соединения;

- юридически грамотно составленный текст оферты об использовании платежного сервиса;

- отсутствие каких-либо жестких требований к телефону и программному обеспечению: наличие пяти способов регистрации в системе;

- высокий уровень безопасности транзакций (переводов);

- поддержка современной технологии MDS (штрих-код в мобильном телефоне);

- уведомления о выставленных счетах в виде SMS-сообщения;

- возможность отключения от Интернета вручную после окончания операции;

- SMS-платежи (в том случае, если GPRS-соединение недоступно)

Недостатки платежной системы «QIWI Кошелек»:

- сложности c настройками GPRS-Internet - они, как правило, не прописаны в подавляющем большинстве моделей мобильных телефонов;

- весьма ограниченные возможности обналичивания и вывода денег из "QIWI Кошелька";

- высокий процент комиссии при выводе средств - 4% от суммы перевода;

- требование периодического обновления списка магазинов, партнеров и сервисов, при этом, если пользователем удаляются ненужные сервисы, то при следующем обновлении эти изменения не сохраняются.

Рисунок 5. Электронный кошелёк «EasyРay»

- EasyРay - творение белорусов, однако сервис с успехом используется и в других странах. Его отличительные особенности - простота, анонимный электронный кошелек и низкие комиссии.

Основное назначение данной платежной системы, как показала практика - микроплатежи в потребительском секторе (услуги ЖКХ, мобильная связь, Интернет-провайдеры). Оплата через «EasyPay» при совершении сделок не пользуется популярностью вследствие небольших размеров Республики Беларусь и сложностями с выводом (в том числе и анонимным) средств из системы. Данные оборота денежных средств по системе являются закрытыми, официальная информация не публикуется.

- PerfectMoney - зарубежный сервис, часто использующийся для проведения различных транзакций. Предоставляет возможность создавать кошельки в евро, долларах или для золота.

Рисунок 6. Электронный кошелёк «PerfectMoney»

Платежная система PerfectMoney (дословный перевод с английского -- «идеальные деньги»), появилась в декабре 2007 года. К сегодняшнему дню, ежедневные обороты PM превышают $2 миллиарда. В день обрабатывается более 40 миллионов транзакций. При этом, система активно развивается и предлагает все новые сервисы.

- Сбербанк Онлайн могут использовать только люди, которые имеют счет или карту в этом банке. Также существует огромное количество аналогичных сервисов от других банков.

Рисунок 7. Электронный кошелёк «Сбербанк Онлайн»

Главные преимущества - возможность совершать операции круглосуточно и дистанционно, получить доступ к своим счетам можно с любого компьютера, телефона или планшета с выходом в интернет, из любой точки мира и в любое время суток, включая выходные и праздничные дни.

Более 100 000 компаний сотрудничают со сбербанком, что позволяет его клиентам дистанционно оплачивать услуги большинства российских частных и государственных компаний, муниципальных учреждений, надзорных органов и т.д.

Сбербанк Онлайн создан не только для совершения расчётных операций, через него можно открыть вклад, отправить заявку на кредит или получить выписку по счёту, график платежей, узнать остаток средств на карте. То есть, получить элементарную информацию не выходя из дома.

Нельзя не отметить высокую степень защиты сбербанка онлайн, которая позволяет миллионам граждан безопасно использовать данную услугу. Взлом вашего аккаунта практически не возможен, если хранить данные для входа в надёжном месте и не посещать сайтом сомнительного содержания.

С недавнего времени на Российском рынке появилась система HandyBank.

Рисунок 8. Электронная платёжная система «HandyBank»

Она представляет собой интернет-банковский сервис для пользователей - физических лиц. Этот сервис предоставляют банки -участники системы. HandyBank дает возможность клиенту банка круглосуточно с любого компьютера или мобильного телефона совершать интернет-платежи со счета своей банковской карты. Система только начинает свое развитие, но уже сейчас у нее есть ряд реальных преимуществ по сравнению с обычными карточными платежами в Интернете. Во-первых, высокий уровень безопасности: система позволяет совершать транзакции, не передавая в Интернет ни номера своей карты, ни пин-кода к ней, ни других ее реквизитов. Во-вторых, более широкий спектр платежных операций. Клиенты HandyBank могут оплачивать множество услуг в упрощенном режиме, совершать банковские переводы, платить налоги и штрафы (гос. платежи), совершать интернет-покупки с банковской гарантией возврата денег при любых проблемах с поставкой товара. К дополнительным преимуществам можно отнести также мобильный банкинг и пополнение счета через терминальные сети.

1.3 Угрозы, характерные для электронных платежных систем

Под угрозой обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.

Основными видами угроз безопасности АС и информации (угроз интересам субъектов информационных отношений) являются:

- стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);

- сбои и отказы оборудования (технических средств) АС;

- последствия ошибок проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);

- ошибки эксплуатации (пользователей, операторов и другого персонала);

- преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников и т.п.).

Все множество потенциальных угроз по природе их возникновения разделяется на два класса:

- естественные угрозы- это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека;

- искусственные угрозы- это угрозы АС, вызванные деятельностью человека.

Среди них, исходя из мотивации действий, можно выделить:

- непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

- преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).

Источники угроз по отношению к АС могут быть внешними или внутренними (компоненты самой АС - ее аппаратура, программы, персонал). Основные непреднамеренные искусственные угрозы АС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

- неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

- неправомерное отключение оборудования или изменение режимов работы устройств и программ;

- неумышленная порча носителей информации;

- запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);

- нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

- заражение компьютера вирусами;

- неосторожные действия, приводящие к разглашению конфиденциальной информации или делающие ее общедоступной;

- разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);

- проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;

- игнорирование установленных правил при работе в системе;

- вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);

- некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;

- пересылка данных по ошибочному адресу абонента (устройства);

- ввод ошибочных данных;

- неумышленное повреждение каналов связи.

Основные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:

- физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);

- отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);

- действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);

- внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);

- вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;

- применение подслушивающих устройств, дистанционная фото- и видеосъемка и т.п.;

- перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);

- перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

- хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых компьютеров);

- несанкционированное копирование носителей информации;

- хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);

- чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;

- чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования;

- незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад");

- несанкционированное использование компьютеров пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п;

- вскрытие шифров криптозащиты информации;

- внедрение аппаратных спецвложений, программных "закладок" и вирусов ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;

- незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

- незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений;

- следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.

Глава 2. Мероприятия по защите информационной структуры электронных платёжных систем

2.1 Структура платежных систем

В современных условиях в рамках мирового хозяйства действует множество платежных систем, обеспечивающих движение денежных средств как внутри отдельных государств, так и между странами. Их можно классифицировать по ряду признаков (Рисунок 9).

Децентрализованные платежные системы возникли исторически раньше. В них взаимодействие участников - банков осуществляется на основе открытия друг у друга прямых корреспондентских счетов (независимо от остальных банков) и проведения расчетов по этим счетам.

Рисунок 8. Виды платёжных систем

Все участники в рамках такой системы выполняют одинаковые функции и имеют равные права и обязанности. Недостаток децентрализованного построения платежной системы заключается в том, что с развитием безналичных расчетов и увеличением числа участников у каждого банка соответственно возрастает количество корреспондентских счетов, усложняется учет расчетных операций, повышаются риски. Необходимость размещения денежных средств для проведения межбанковских расчетов на всё большем количестве счетов приводит к возрастанию объема активов, отвлеченных в расчеты, снижению ликвидности и прибыльности банков.

Централизованная платежная система предполагает наличие института, оказывающего посреднические услуги банкам по проведению их расчетов друг с другом (расчетного агента). В такой системе каждому банку для осуществления платежей необходимо иметь только один корреспондентский счет- у расчетного агента. Последний проводит платежи путем перевода денег по корреспондентским счетам, открытым у него банками-участниками. В рамках централизованных систем участники различаются своими функциями и подчинены определенной иерархии. В настоящее время существует две разновидности таких платежных систем, которые различаются степенью централизации расчетных операций Ї двухуровневая и одноуровневая системы.

Двухуровневая платежная система является менее централизованной, ее характерной особенностью является наличие прямых и ассоциированных участников.

Прямые участники (клиринговые банки, клиринговые палаты и т.д.), образующие первый уровень, имеют корреспондентские счета, открытые у расчетного оператора системы, в качестве которого может выступать центральный банк, центральная клиринговая палата или другой институт. Они предоставляют платежные услуги для ассоциированных участников, образующих второй уровень, выступая для них в роли расчетных агентов. Ассоциированные участники проводят свои расчеты через корреспондентские счета, открытые у прямых участников.

Одноуровневая платежная система характеризуется высшей степенью централизации, в ней все участники являются прямыми, и функции расчетного агента выполняет один финансовый институт, чаще всего центральный банк.

По способу расчётов выделяют системы валовых расчетов (брутто-расчетов) и системы клиринговых расчетов (расчетов на чистой основе или нетто-основе).

Система валовых расчетов представляет собой платежную систему, в которой переводы денежных средств между ее участниками совершаются в полной сумме по каждому платежу. Современные банковские технологии при наличии достаточной суммы средств на счете позволяют осуществлять валовые платежи в режиме реального времени.

Система клиринговых расчетов основана на зачете взаимных требований и обязательств участников. В такой системе каждый отдельный платеж по счету не проводится Ї в течение установленного времени идет накопление встречных требований и обязательств, после чего производится их взаимный зачет на равновеликие суммы и вычисление чистых позиций (нетто-позиций) участников. Окончательные расчеты в клиринговой системе осуществляются по результатам проведенногозачета в сумме полученных сальдо.

По сфере действия можно выделить локальные, национальные и международные платежные системы.

Локальные платежные системы функционирует в отдельных регионах, могут организовываться отдельными банками или группой банков и небанковских кредитно-финансовых организаций. Например, к локальным системам можно отнести внутренние платежные системы, созданные для проведения расчетов с использованием банковских пластиковых карточек.

Международные платежные системы организуются для проведения расчетов между контрагентами из разных стран. Платежи в них могут проводиться как на валовой основе, так и путемзачета взаимных требований. Например, в ЕС функционирует международная платежная система TARGET, включающая национальные системы валовых расчетов в режиме реального времени стран-участниц, и евро-клиринговая система расчетов ECS.

Национальная платёжная система представляет собой совокупность банковских и финансовых институтов, платежных инструментов, банковских правил и процедур, программно-технических средств, а также межбанковских систем и механизмов перевода денежных средств, обеспечивающих обращение денежных средств внутри страны и взаимодействие с зарубежными платежными системами. Поскольку она является важнейшей частью финансово - кредитной системы государства, остановимся на ее характеристике подробнее.

Организация платежных систем разных государств имеет существенную специфику, обусловленную различиями в уровне экономического развития, исторически сложившимися традициями и платежными обычаями, особенностями банковского законодательства и т.д. В то же время у национальных платежных систем развитых стран есть общие черты, которые сформировались под воздействием современных потребностей рыночных экономик, процесса глобализации, совершенствования банковских технологий и других факторов.

Национальная платежная система имеет универсальный характер. Она обеспечивает движение наличных и безналичных денежных средств всех экономических агентов в пределах страны, а через взаимосвязь с другими национальными и международными платежными системами Ї возможность осуществления международных расчетов. В связи с этим платежная система страны имеет сложную структуру. Ее можно представить в виде совокупности систем расчетов, каждая их которых обслуживает определенные виды платежей и обладает некоторой спецификой организации.

Выделяют следующие основные системы расчетов, являющиеся составными частями национальной платежной системы:

- межбанковских переводов денежных средств;

- расчетов по ценным бумагам;

- безналичных расчетов по розничным платежам;

- международных расчетов и расчетов по операциям с иностранной валютой;

- межбанковских децентрализованных расчетов (по прямым корреспондентским счетам, которые коммерческие банки открыли друг у друга);

- внутрибанковских расчетов (в пределах одного банка).

Система межбанковских переводов денежных средств является главным элементом национальной платежной системы. Именно она обеспечивает основной оборот денежных средств внутри страны и взаимодействие с другими платежными системами. В 90-х годах 20 века в развитых странах стали использоваться две специализированные системы межбанковских расчетов: RTGS (real - time gross settlement systems) и клиринговая система. Они различаются объектами расчетных операций и способами перечисления средств, однако функционируют одновременно и дополняют друг друга. Система RTGS является системой переводов крупных и срочных платежей на валовой основе в режиме реального времени. Формирование таких систем было связано с резким ростом объема крупных платежей и стало возможным благодаря совершенствованию банковских технологий. Клиринговая система представляет собой систему межбанковских расчетов на чистой основе и предназначена для переводов несрочных и мелких сумм.

Особенности, преимущества и недостатки данных систем межбанковских расчетов отражены в таблице 1.

Таблица 1. Характеристика систем межбанковских расчетов

RTGS	Межбанковский клиринг
Особенности системы
осуществление расчетов на валовой основе, непрерывная обработка документов и расчет по ним в полной сумме	осуществление расчетов на чистой основе в расчетное время клирингового сеанса
проведение крупных и срочных платежей	проведение несрочных и мелких платежей
формирование очереди платежей при недостатке средств на счете	отсутствие приоритетов платежей
установка приоритетов платежей при наличии очереди
безотзывность платежей	возможность отзыва платежей до момента расчетов
Преимущества системы
снижение расчетных и других рисков	экономия денежных средств, отвлеченных в расчеты
условия для контроля платежного оборота и ликвидности коммерческих банков со стороны центрального банка	упрощение и ускорение расчетов
Недостатки системы
отвлечение в расчеты большего объема денежных средств	большая подверженность рискам

Развитие современных технологий позволило создать гибридные системы расчетов, соединяющие достоинства RTGS и клиринговой системы. В них можно обрабатывать все виды платежей - крупные (срочные) и мелкие (несрочные), использовать комбинированные механизмы расчетов (на валовой основе и на основе клиринга), снизить стоимость расчетных операций, применять унифицированные технические средства и технологии обработки электронных платежных документов и т.д. Тем не менее, в таких гибридных системах выделяются расчетные системы, ориентированные на обработку крупных (срочных) сумм платежей, и системы, ориентированные на обработку мелких (несрочных) сумм платежей (или прочих денежных переводов).

Системы перевода крупных сумм платежей используются главным образом для совершения платежей, связанных с выполнением функций центрального банка (рефинансирование банков и т.п.), а также для расчетов по операциям на кредитном, валютном, фондовом и других финансовых рынках. Системы расчетов по прочим денежным переводам обеспечивают проведение платежей на мелкие суммы с использованием широкого спектра платежных инструментов (банковских пластиковых карточек, чеков и т.д.). Следует отметить, что системы перевода крупных сумм платежей оказывают значительное влияние на безопасность и эффективность функционирования национальных платежных систем, поэтому они подвергаются усиленному надзору со стороны центральных банков.

2.2 Методы обеспечения безопасности информации

Меры обеспечения безопасности банковских расчетов можно разделить на две большие группы - меры пассивной безопасности и меры активной безопасности (рисунок 9).

Как видно из рисунка 9, меры пассивной безопасности направлены на то, чтобы затруднить саму возможность получения третьими лицами доступа к клиентским счетам и совершения с ними мошеннических операций. Системы активной безопасности, напротив, предназначены для мониторинга операций управления счетом и выделения подозрительных транзакций.

Рисунок 9. Системы безопасности банковских электронных операций

К мерам пассивной безопасности банковских расчетов можно отнести, прежде всего, способы идентификации клиентов, среди которых в свою очередь можно выделить кодовые, программные и аппаратные. Наиболее распространенными являются кодовые способы идентификации. К ним в частности относятся:

- секретные коды, которые печатаются в единственном экземпляре и выдаются лично клиенту;

- защита передачи данных при помощи паролей;

- динамическая генерация паролей и секретных кодов;

Основным преимуществом средств кодовой идентификации является удобство, низкая стоимость, простота реализации и возможность многократного изменения, дублирования и передачи кодов доступа. Однако это же определяет основной недостаток таких средств - низкую защищенность от несанкционированного получения средств доступа к счету. Тем не менее, кодовые способы идентификации в настоящее время являются наиболее распространенными в системах электронных платежей.

К программным средствам идентификации можно отнести:

- защиту передачи данных при помощи программных сертификатов;

- системы шифрования данных.

В большинстве случаев программные средства идентификации представляют собой некоторый программный код (цифровой сертификат), записанный на электронный носитель информации. Пользователь системы принимает этот код по электронной почте и устанавливает его на своем компьютере, после чего получает возможность полноценного доступа к счету. Как правило, программные средства идентификации используются совместно с кодовыми. Несмотря на более высокий уровень защиты, программные средства идентификации не так распространены, как кодовые, из-за сложности и меньшего удобства в использовании. В качестве примера системы, использующей программные средства идентификации можно привести систему электронных денегWebMoney, популярную на территории СНГ. Анализ материалов по данной проблеме, представленных в Internet, позволяет сделать вывод, что успешных попыток получения несанкционированного доступа к счетам WebMoney, с установленным максимальным уровнем безопасности, еще не было.

...