Защита информации при использовании электронных платежных систем

Однако наиболее высокий уровень безопасности обеспечивают аппаратные средства идентификации клиентов, к которым относятся:

- идентификация посредством программных кодов на нетиражируемых носителях;

- биометрическая идентификация;

- использование выделенных каналов связи.

При использовании этих средств обеспечивается жесткая привязка возможности пользования системой к одному терминалу. Таким образом, несанкционированный доступ к счету может быть осуществлен только при наличии у третьего лица возможности физического доступа к терминалу с установленным аппаратным средством идентификации. Однако, поскольку подобные системы, как правило, используются совместно с программными и кодовыми средствами защиты, возможность несанкционированного доступа к ним практически отсутствует и может являться только результатам несоблюдения элементарных правил безопасности. В то же время системы с аппаратной идентификацией клиентов имеют существенные недостатки, такие как низкая мобильность, сложность тиражирования средств доступа и высокая цена, что обуславливает их применение преимущественно в системах управления банковскими операциями, ориентированных на юридических лиц.

В таблице 2 приведены характеристики средств пассивной безопасности банковских электронных операций.

Таблица 2. Характеристики средств пассивной безопасности электронных операций

Уровень безопасности	Низкий. Код может быть украден в момент ввода, либо при наличии у злоумышленника программного доступа к терминалу пользователя	Средний. Сертификат может быть скопирован при возможности физического доступа к терминалу	Высокий. Несанкционированный доступ возможен только при несоблюдении пользователем элементарных правил безопасности.
Мобильность пользователя	Высокая. Пользователь может получить доступ к счету с любого терминала без ограничений.	Средняя. Доступ к счету с других терминалов, возможен только после установки специального ПО и при наличии сертификата на электронном носителе.	Низкая. Точка доступа к счету аппаратно привязана к одному терминалу, либо каналу связи.
Стоимость реализации и обслуживания.	Низкая. Требует затрат только в процессе создания	Средняя. Требует затрат в процессе создания, а также затрат на передачу сертификатов клиентам.	Высокая. Требует дополнительных затрат на изготовление, передачу и установку каждого устройства идентификации
Возможность тиражирования средств доступа	Высокая. Средства доступа могут передаваться без ограничения, в.том числе в устной форме.	Средняя. Средства доступа могут быть растиражированы на электронном носителе	Низкая. Дополнительные средства доступа могут быть изготовлены только по документальной просьбе владельца счета.
Уровень удобства использования	Высокий. Возможность быстрого получения доступа к счету с любого терминала.	Средний. Для получения доступа к счету требуется установка дополнительных программных продуктов.	Низкий. Получение доступа к счету требует совершения ряда дополнительных действий.

Пассивные методы обеспечения безопасности являются наиболее распространенными в банковской практике. В большинстве своем они обладают такими неоспоримыми преимуществами, как незначительный процент ложных срабатываний, прозрачность для клиентов, возможность включения в стоимость банковских услуг. Но в то же время пассивные меры безопасности не в состоянии обеспечить адекватную защиту при незаконном получении третьими лицами средств доступа к счету. В этом случае система безопасности, получив от третьего лица те же идентификационные признаки, что и от владельца счета, будет нейтрализована и не сможет препятствовать дальнейшим операциям по перемещению денежных средств.

Для того чтобы противодействовать несанкционированным операциям третьих лиц со счетами клиентов банка, в случае если система пассивной безопасности нейтрализована, применяются меры активной безопасности.

Действие систем активной безопасности основано на мониторинге операций клиентов со счетами, с целью выделения и блокирования подозрительных транзакций. Поскольку надежность работы активных систем безопасности во многом определяется тем, насколько потенциальные мошенники знакомы с её структурой, признаки транзакций, попадающих в категорию подозрительных, являются «ноу-хау» банковских служб безопасности. Однако можно выделить некоторые основные категории таких транзакций:

- транзакции в торговых точках, которые были замечены в мошеннических операциях;

- транзакции, связанные с оплатой товаров, потенциально подходящих для «отмывания» денег (например, ювелирных изделий);

- большое количество транзакций, совершенных за короткое время;

- совершение транзакций на необычно большие для данного клиента суммы;

- получение доступа к счету за короткое время из разных точек, физически удаленных одна от другой на большие расстояния;

- подбор сумм транзакции.

Очевидно, что категории транзакций 2-5 можно обобщить одним понятием - «необычные». Именно выделение необычных, нехарактерных транзакций является основной задачей активных систем безопасности. Это связано с тем, что третьи лица, получив доступ к счету, обычно пытаются вывести с него деньги как можно быстрее и для этого вынуждены совершать транзакции на большие суммы. Цель функционирования активных систем безопасности - предотвращение несанкционированных списаний средств в течении первых часов, максимум - суток после утери клиентом ключевых средств доступа к счету. Как только клиент сообщает в банк о возможном переходе этих средств к третьим лицам, либо подтверждает банку подозрения, выявленные активной системой безопасности, происходит немедленная блокировка счета и замораживание средств на нем. После этого получить доступ к средствам на счете становится возможным только при личном визите в банк и предъявлении официальных документов, удостоверяющих личность.

К основным недостаткам существующих систем активной безопасности можно отнести высокий уровень ложных срабатываний и статичность правил выделения подозрительных транзакций. Поэтому дальнейшее совершенствование таких систем должно быть направлено на преодоление указанных недостатков. Наиболее перспективным представляется применение интеллектуальных методов идентификации подозрительных транзакций.

2.3 Методы защиты информации при ее передаче между удаленными пользователями и центральными серверами

Удаленное банковское обслуживание предполагает проведение операций без визита в банк на основании инструкций, передаваемых по каналам удаленного доступа. Если раньше в банках было распространено только два основных способа удаленного обслуживания - юридических лиц в системах "клиент-банк" и физических лиц при помощи банкоматов, то сегодня к этому списку добавляются системы компьютерной телефонии, обслуживание через Интернет, центры сервисного обслуживания запросов клиентов (Call-центры), мобильный телефон с использованием WAP и SMS протоколов.

Расширение спектра удаленных услуг предполагает выделение трех уровней в процедуре удаленного обслуживания клиентов:

- Первый уровень - это уровень бэк-офиса банка. На этом уровне выполняется обработка удаленных запросов, формирование необходимых документов как для клиента, так и для обеспечения операций по счетам клиента и т.д.

- Следующим уровнем является уровень способа предоставления банковского продукта или услуги. Решение задач второго уровня обеспечивается средствами телекоммуникационных подсистем, благодаря чему удаленный по отношению к системе УО клиент может воспользоваться услугами банка. На этом уровне решаются вопросы гарантированной доставки информации, реализуются механизмы проверки ее достоверности, защиты от несанкционированного доступа.

- Третий уровень - это уровень клиента. На этом уровне клиент получает доступ к системе УО с помощью агента клиента - средства, обеспечивающего предоставление клиенту информации в определенном виде из банка и формирование сообщений для банка.

Так как взаимодействие между уровнями стандартизовано, это позволяет:

- наращивать многоканальность системы, подключая новые компоненты на втором и третьем уровнях;

- совершенствовать возможности системы УО, связанные с функционированием какого-либо уровня, модифицируя компоненты только этого уровня.

Предложенный подход позволил более просто при разработке системы учесть следующие требования:

- инвариантность по отношению к средствам распространения продуктов и услуг. Система должна обеспечить одновременную работу с разными средствами доступа, иметь возможность развития системы с добавлением новых средств распространения продуктов, внесения существенных изменений;

- масштабируемость и гибкость по отношению к клиентам и расширению набора их банковских услуг;

- интеграция с АБС, не требующая модернизации АБС, выполнение операций в режиме реального времени, технологических операций;

- простота, наглядность и дружественность интерфейсов системы для массового пользователя;

- обеспечение безопасности передаваемой информации и защиты от несанкционированного доступа к системе.

Доступ клиентов к банковским продуктам системы посредством различных каналов распространения продуктов осуществляется через серверы доступа, которые обеспечивают работу каналов. Сервер доступа к продуктам - это программно-аппаратный комплекс, обеспечивающий взаимодействие между сервером УО и клиентом с использованием средств распространения продуктов. Функции и архитектура сервера доступа зависят от особенностей канала (сервер компьютерной телефонии, Интернет - сервер, и т.д.). Далее зарегистрированные удаленные запросы (распоряжения) клиентов поступают в сервер УО для их обработки. Задача сервера УО состоит в превращении запросов и распоряжений клиентов в реальные проводки по счетам клиентов и создание документов (квитанции, извещения, платежные поручения), сопутствующих операций, а также занесение информации о сделке в базу сделок. Через систему шлюзов эти изменения отражаются на счетах клиентов.

Виды удаленного обслуживания в системе УО:

- доступ к счетам через модем и общую телефонную сеть (традиционная подсистема Клиент-Банк);

- обслуживание счетов клиента через Интернет - подсистема «Интернет-Клиент»;

- клиент получает доступ к счету с помощью стандартных средств доступа к Интернету;

- система автоматического обслуживания клиентов по телефону с использованием технологий компьютерной телефонии.

На единую систему удаленного банковского обслуживания могут «навешиваться» различные подсистемы, описывающие каналы доставки документа. На приведенной ниже схеме показана общая техническая структура системы (рисунок 10).

Рисунок 10. Общая структура системы удаленного обслуживания

Система «Клиент - Банк» (КБ) обеспечивает быстрый удобный ввод информации, ее первичную обработку и любое внешнее взаимодействие банка с клиентами, другими банками, Центральным банком и т.д.

Система «Клиент - Банк» позволяет банку и его клиентам обмениваться подписанными и зашифрованными пакетами документов по телефонным линиям связи. Она состоит из модуля «Банк», который располагается на коммуникационной ПЭВМ в банке, и модуля «Клиент», который устанавливается на компьютере клиента. Система «Клиент-Банк» дает возможность клиенту банка решать свои задачи общения с банком, минуя операциониста, и не выходя из своего офиса. Клиент может, не покидая офиса, проводить стандартные банковские операции и постоянно поддерживать с банком операционную связь.

Основу комплекса «Клиент-Банк» составляет программный продукт «Клиент», который реализует следующие важные функции:

- формирование базы платёжных поручений клиента и её автоматическое изменение на основании информации, полученной из банка;

- осуществление модемной связи клиента с банком с целью передачи платёжных поручений для списания сумм со счёта клиента, получения им выписок из лицевого счёта банка, получения платёжных документов о зачислении сумм на счёт клиента (кредитовые платёжные поручения), получения текущей информации о состоянии лицевого счёта клиента или интересующего его дебетового платёжного поручения;

- формирование и использование базы архивных платёжных документов с целью поиска и печати одного документа или группы документов в соответствии с интересующими клиента признаками и условиями.

Система электронного документооборота "КЛИЕНТ-БАНК", позволяет эффективно организовывать взаимодействие банков со своими клиентами в режиме удаленного доступа, наиболее простым аспектом, которого является прием-отправка платежных поручений.

Безопасность АБС достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности компонентов и ресурсов системы.

Конфиденциальность информации - это свойство информации быть известной только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, программам, процессам и т.д.). Для остальных субъектов системы эта информация как бы не существует.

Целостность компонента (ресурса) системы - свойство компонента (ресурса) - быть неизменным при функционировании системы.

Доступность компонента (ресурса) системы - свойство компонента (ресурса) быть доступным для использования авторизованными субъектами системы в любое время.

Обеспечение безопасности АБС требует применения различных мер защитного характера. Обычно вопрос о необходимости защиты компьютерной системы не вызывает сомнений. Наиболее трудными бывают ответы на вопросы:

- от чего надо защищать систему;

- что надо защищать в самой системе;

- как надо защищать систему (при помощи каких методов и средств).

При выработке подходов к решению проблемы безопасности следует всегда исходить из того, что конечной целью применения любых мер противодействия угрозам является защиты владельца и законных пользователей АБС от нанесения им материального или морального ущерба в результате случайных ил преднамеренных воздействий на нее.

Помимо обеспечения безопасности работы с персональными компьютерами, необходимо разработать более широкую, комплексную программу компьютерной безопасности, которая должна обеспечить сохранность электронных данных во всех файлах банка. Она может включать следующие основные этапы реализации:

- защита информации от несанкционированного доступа;

- защита информации в системах связи;

- защита юридической значимости электронных документов;

- защита конфиденциальной информации от утечки по каналам побочных электромагнитных излучений и наводок;

- защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ;

- защита от несанкционированного копирования и распространения программ и ценной компьютерной информации. Для каждого направления определяются основные цели и задачи.

Обеспечение безопасности АБС в целом предполагает создание препятствия для любого несанкционированного вмешательства в процесс ее функционирования, а также попыток хищения, модификации, выведения из строя или разрушения ее компонентов. То есть защиту всех компонентов системы: оборудования, программного обеспечения, данных и персонала. В этом смысле защита информации от несанкционированного доступа является только частью общей проблемы обеспечения безопасности АБС, а борьбу следует вести не только с «несанкционированным доступом» (к информации), а шире - с «несанкционированными действиями».

Центральной в проблеме защиты информации от несанкционированного доступа является задача разграничения функциональных полномочий и доступа к информации, направленная на предотвращение не только возможности потенциального нарушителя «читать» хранящуюся в ПЭВМ информацию, но и возможности нарушителя модифицировать ее штатными и нештатными средствами.

В основе контроля доступа к данным лежит система разграничения доступа между пользователями АБС и информацией, обрабатываемой системой. Для успешного функционирования любой системы разграничения доступа необходимо решение двух задач:

- сделать невозможным обход системы разграничения доступа действиями, находящимися в рамках выбранной модели;

- гарантировать идентификацию пользователя, осуществляющего доступ к данным (аутентификация пользователя).

Одним из эффективных методов увеличения безопасности АБС является регистрация. Система регистрации и учета, ответственная за ведение регистрационного журнала, позволяет проследить за тем, что происходило в прошлом, и соответственно перекрыть каналы утечки информации. В регистрационном журнале фиксируются все осуществленные или неосуществленные попытки доступа к данным или программам. Содержание регистрационного журнала может анализироваться как периодически, так и непрерывно.

Система регистрации и учета осуществляет:

- регистрацию входа (выхода) субъектов доступа в систему (из системы) либо регистрацию загрузки и инициализации операционной системы и ее программного останова (регистрация выхода из системы или останова не проводится в моменты аппаратного отключения АИТ), причем в параметрах регистрации указываются: время и дата входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; результат попытки входа - успешный или неуспешный (при попытке несанкционированного доступа), идентификатор (код или фамилия) субъекта, предъявляемый при попытке доступа;

- регистрацию и учет выдачи печатных (графических) документов на твердую копию;

- регистрацию запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;

- регистрацию попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

- учет всех защищаемых носителей информации с помощью их любой маркировки (учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи / приема, должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации).

Контроль целостности программного обеспечения проводится с помощью:

- внешних средств (программ контроля целостности);

- внутренних средств (встроенных в саму программу).

Контроль целостности программ внешними средствами выполняется при старте системы и состоит в сравнении контрольных сумм отдельных блоков программ с их эталонными суммами. Контроль можно производить также при каждом запуске программы на выполнение.

Контроль целостности программ внутренними средствами выполняется при каждом запуске программы на выполнение и состоит в сравнении контрольных сумм отдельных блоков программ с их эталонными суммами. Такой контроль используется в программах для внутреннего пользования.

2.4 Организационные меры по обеспечению информационной безопасности

2.4.1 Политика безопасности

Политика информационной безопасности Банка (далее - Политика) определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности, а также основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в Банке.

Политика учитывает современное состояние и ближайшие перспективы развития информационных технологий в Банке, цели, задачи и правовые основы их эксплуатации, режимы функционирования, а также содержит анализ угроз безопасности для объектов и субъектов информационных отношений Банка.

Основные положения и требования данного документа распространяются на все структурные подразделения Банка, включая дополнительные офисы. Основные вопросы Политика также распространяются на другие организации и учреждения, взаимодействующие с Банком в качестве поставщиков и потребителей информационных ресурсов Банка в том или ином качестве.

Законодательной основой настоящей Политики являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

Политика является методологической основой для:

- формирования и проведения единой политики в области обеспечения безопасности информации в Банке;

- принятия управленческих решений и разработке практических мер по воплощению политика безопасности информации и выработки комплекса согласованных мер, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

- координации деятельности структурных подразделений Банка при проведении работ по созданию, развитию и эксплуатации информационных технологий с соблюдением требований по обеспечению безопасности информации;

- разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения безопасности информации в Банке.

С практической точки зрения политику в области обеспечения безопасности информации в Банке целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность Банка в целом. Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей безопасности информации, определить какими ресурсами (материальные, структурные, организационные) они будут достигнуты, и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью.

Политика нижнего уровня, определяет процедуры, и правила достижения целей и решения задач безопасности информации и детализирует (регламентирует) эти правила:

- каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности информации;

- кто имеет права доступа к информации ограниченного распространения, кто и при каких условиях может читать и модифицировать информацию и т.д.

Политика нижнего уровня должна:

- предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении информационных ресурсов;

- определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к информации ограниченного распространения;

- выбирать программно-технические (аппаратные) средства криптозащиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

Использование данной Политики в качестве основы для построения комплексной системы информационной безопасности Банка позволит оптимизировать затраты на ее построение.

При разработке Политики учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации.

Основные положения Политики базируются на качественном осмыслении вопросов безопасности информации и не затрагивают вопросов экономического (количественного) анализа рисков и обоснования необходимых затрат на защиту информации.

2.4.2 Организационные меры

Организационные (административные) меры и методы защиты - это меры и методы организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они основаны на принципах управления коллективом и предприятием (службой) и принципах законности. Они включают:

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;

- мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);

- мероприятия, осуществляемые при подборе и подготовке персонала системы;

- организацию охраны и надежного пропускного режима;

- организацию учета, хранения, использования и уничтожения документов и носителей с информацией;

- распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

- организацию явного и скрытого контроля за работой пользователей;

- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.

Организационные меры - это единственное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Однако, это вовсе не означает, что систему защиты необходимо строить исключительно на их основе, как это часто пытаются сделать чиновники, далекие от технического прогресса.

Достоинства:

- широкий круг решаемых задач;

- простота реализации;

- гибкость реагирования на несанкционированные действия;

- практически неограниченные возможности изменения и развития.

Этим мерам присущи серьезные недостатки, такие как:

- необходимость использования людей,

- повышенная зависимость от субъективных факторов,

- высокая зависимость от общей организации работ в организации;

- низкая надежность без соответствующей поддержки физическими, техническими и программными средствами (люди склонны к нарушению любых установленных дополнительных ограничений и правил, если только их можно нарушить);

- дополнительные неудобства, связанные с большим объемом рутинной формальной деятельности.

Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими и всеми другими средствами. В связи с этим в системе организационного обеспечения компьютерной безопасности выделяют два направления: - направление связанное с реализацией мер организационно- правового характера и направление, связанное с реализацией мер организационно-технического характера. Первое направлено на реализацию правовых методов защиты информации и поддержание правового режима обработки информации. Второе направлено на поддержание правового режима обработки информации методами инженерно- технической защиты.

2.4.3 Кадровая политика

Принцип подбора и расстановки персонала предусматривает разработку конкретных требований к персоналу банка исходя из масштабов его деятельности, его конкурентоспособности на рынке, традиций, а также схему рационального размещения персонала между подразделениями, отделами и филиалами банка.

Условия найма и увольнения определяются конкретными правилами, по которым банк набирает и увольняет персонал. Эти правила содержат определенные требования к персоналу. При найме: профессиональная подготовка, уровень образования, возраст, рекомендации с прошлых мест работы, размер предлагаемой заработной платы. Уровень молодых кадров определяется в основном по степени полученного образования, а уровень кадров старших возрастов - по уровню профессиональной подготовки и опыту работы в банковской сфере. В условиях увольнения в основном учитываются такие факторы как нарушение банковской этики и дисциплины, безынициативность, отсутствие стремления повышать квалификацию, выдача банковских тайн.

Обучение и повышение квалификации предусматривают постоянное обучение персонала банка на всех уровнях либо в рамках самого банка, либо в специальных учебных центрах или высших учебных заведениях. Необходимость обучения в целях повышения квалификации обусловлена в основном требованиями и конъюнктурой банковского рынка, растущей конкуренцией и высоким уровнем научно-технического прогресса в банковских технологиях

При рассмотрении перспективных направлений в работе с кадровым потенциалом банка в первую очередь следует думать о развитии корпоративного духа, культуры среди сотрудников банка и о расширении мотивации сотрудников, особенно в плане самовыражения и самореализации.

Банк, как и любая другая коммерческая структура, имеет свою идеологию выживания и закрепления на рынке, в которую сегодня явно не вписывается либеральная политика работы с персоналом. Действует принцип жесткий, но справедливый - доказывай делом, ежедневной работой, чего ты стоишь, насколько предан идеям банка и можешь ли действовать профессионально в непростых условиях банковской конкуренции.

Успешное управление банковским персоналом предполагает наличие соответствующих уровней ответственности в организации за результативность работы с кадрами, а также ее ресурсное обеспечение. Эффективной является 3-уровневая система управления персоналом, которая, как показал опыт коммерческих банков, не только оправдала себя, но и дала ощутимые положительные результаты.

Первый (или высший) уровень управления персоналом - это Правление банка и его Председатель.

Второй уровень - профессиональные подразделения по работе с персоналом (отдел кадров, сектор материально-технической поддержки, группа психологов, Учебный центр и всевозможные другие отделы и службы).

Третий уровень - работа с персоналом руководителей подразделений банка.

Все три уровня направлены на решение проблем рядовых сотрудников. Важно, чтобы такое профессиональное воздействие на сотрудников было, по возможности, незаметным и ненавязчивым. Сотрудник, приходя в банк и попадая в сферу кадровых действий различных управляющих уровней и систем, не должен испытывать дискомфорта, а ощущать реальную помощь, начиная от продуманного ритуала приема на работу и заканчивая справедливой системой поощрения и возможностью высказывать свои пожелания по улучшению дел. Выработанные правила (в банковской специфике больше подойдет термин «коридор») должны умело способствовать росту, продвижению и трудовой отдаче рядовых сотрудников.

электронный платежный информация сервер

Глава 3. Внедрение дополнительных средств защиты при использовании электронных платёжных систем

Рассмотрим транзакцию, основными участниками которой являются: покупатель, интернет-магазин, банк-эквайер и банк-эмитент (Рисунок 11).

Рисунок 11. Структура работы электронной платёжной системы

Это удобная и легко используемая платёжная система, структура которой описывает передачу данных только при оплате услуг или товаров через интернет при помощи смарт-карты.

Но, к сожалению, защита информации в случае её использования очень низкая, особенно в том случае, если карта владельца находится в руках злоумышленника.

Покупатель отправляет запрос на оплату товаров в интернет - магазин, который в свою очередь, перенаправляет покупателя на страницу электронной платёжной системы для заполнения данных, после идёт авторизация пользователя. На этом этапе я бы хотела пока что остановиться и рассмотреть методы защиты, используемые для сохранности персональных данных покупателя.

Система защиты платежей с использованием пластиковой карты, как и всех остальных электронных платёжных систем, основывается, как я уже писала, в основном на защите соединений при проведении транзакции, защите данных с помощью шифрования такими протоколами, как HTTPS. Но если рассмотреть способы защиты со стороны клиента (держателя карты), становится понятно, что кроме стандартных способов идентификации и аутентификации клиента, другой защиты от НСД нет.

Я предполагаю как способ аутентификации надежнее будет ввести биометрические данные.

Биометрические данные -- это физиологические и биологические особенности человека, на основании которых можно установить его личность. В системах доступа к информации биометрические технологии имеют значительное преимущество перед остальными методами. В отличие от пароля, который человек может кому-то сообщить или забыть, а также от карт, которые могут быть утеряны или скопированы, биометрические данные однозначно идентифицируют самого человека.

Стратегии банков предполагают, что в дальнейшем биометрические данные будут привязываться к счету клиента (дебетовому/кредитному), а оплата товаров/услуг будет осуществляться так же, как по бесконтактным картам (Visa PayWave и Mastercard PayPass) или смартфонам с NFC-чипами. В данном случае к POS-терминалу граждане будут прикладывать палец (или смотреть в устройство сканирования сетчатки глаза), сумма покупки будет списываться со счета. Для использования этой системы дома, или в офисе, предлагается приобрести считыватели стандарта ISO, которые будут подключены к сети Интернет, передавая данные на сервер платёжной системы и зашифрованные одним из протоколов шифрования, к примеру SSL. Структура работы платёжных систем после внедрения данной системы будет выглядеть примерно так (Рисунок 12):



Рисунок 12. Внедрение системы биометрических данных

Из данного рисунка видно, что вместо введения данных платёжной карты, покупателю достаточно поднести палец к считывателю, или просканировать сетчатку глаз для авторизации. Далее зашифрованный код с биометрическими данными отправляется в электронную платёжную систему, пройдя авторизацию, следует в банк - эквайер (в данном случае эквайером может являться некое сообщество банков, организующее сеть биометрических считывателей), он отправляет данные в банк - эмитент, в котором покупатель (пользователь) зарегистрировал свои данные. Из эмитента в обратном порядке проходят средства оплаты (электронные деньги). Платёж завершен.

Конечно, при проведении реального платежа, эта схема остаётся прозрачной для покупателя, он видит только конечный аспект - получение товаров или услуг за определённую плату.

Внедрение таких технологий приведёт к увеличению расходов, так как скорее всего система биометрического распознавания пользователя будет стоить немалых денег, но при этом, она же обеспечивает гарантированную надёжность проведения электронных транзакций без каких либо повреждений и посторонних вмешательств. Не смотря на высокую стоимость данной системы, её внедрение обеспечит большой спрос у пользователей, так как она эффективна при проведении любых сумм.

Данная система будет продуктивна при внедрении её в любой из аспектов банковских платежей.

Заключение

Электронные деньги все более явно начинают становиться нашей повседневной реальностью, с которой, как минимум, уже необходимо считаться. Конечно, никто в ближайшие лет пятьдесят (наверное) не отменит обычные деньги. Но не уметь управляться с электронными деньгами и упускать те возможности, которые они с собой несут, - значит добровольно возводить вокруг себя «железный занавес», который с таким трудом раздвигался за последние полтора десятка лет. Многие крупные фирмы предлагают оплату своих услуг и товаров через электронные расчеты. Потребителю же это значительно экономит время.

Бесплатное программное обеспечение для открытия своего электронного кошелька и для всей работы с деньгами максимально адаптировано для массовых компьютеров, и после небольшой практики не вызывает у рядового пользователя никаких проблем. Наше время - время компьютеров, интернета и электронной коммерции. Люди, обладающие знаниями в этих областях и соответствующими средствами, добиваются колоссальных успехов. Электронные деньги - деньги, получающие все более широкое распространение с каждым днем, открывающие все больше возможностей для человека, имеющего доступ в Сеть.

Список источников информации

3. Антонов Н.Г., Пессель М.А. Денежное обращение, кредит и банки. -М.: Финстатинформ, 2012, стр. 179-185.

4. Банковский портфель - 3. -М.: Соминтэк, 2013, стр. 288-328.

5. Михайлов Д.М. Международные расчеты и гарантии. М.: ФБК-ПРЕСС, 2012, стр. 20-66

6. Поляков В.П., Московкина Л.А. Структура и функции центральных банков. Зарубежный опыт: Учебное пособие. - М.: ИНФРА-М, 2012.

7. Гайкович Ю.В., Першин А.С. Безопасность электронных банковских систем. -- М: Единая Европа, 2013 г

8. Демин В.С. и др. Автоматизированные банковские системы. -- М: Менатеп-Информ, 2012 г.

9. Крысин В.А. Безопасность предпринимательской деятельности. -- М:Финансы и статистика, 2013 г.

10. Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. -- М: НИТ, 2015 г.

11. Титоренко Г.А. и др. Компьютеризация банковской деятельности. -- М: Финстатинформ, 2014 г.

12. Тушнолобов И.Б., Урусов Д.П., Ярцев В.И. Распределенные сети. -- СПБ: Питер, 2013 г.

13. NovellNetWare. Руководство пользователя, 2014 г.

14. Аглицкий И.К., Состояние и перспективы информационного обеспечения российских банков. -- Банковские технологии, 2011 г. №1

Размещено на Allbest.ru

...