Направления защиты информации, стимулируемые банковскими приложениями

План 
 

1. Введение

 
 

2. Основная  часть

 

1. Новые направления, стимулируемые банковскими приложениями

 

2. Современные средства защиты

 

3. Банк защищается от клерков

 

4. Система «свой-чужой» для банка и клиента

 

5. Криптография  — дело федеральной безопасности

 

6. Рост спроса на биометрию — десятки процентов в год

 

7. Обеспечиваемая  шифром степень защиты

 

8. Основные  цели информационной безопасности

 
 

3. Заключение

 
 

4. Список  литературы

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

1. Введение

 

   В своей работе я хочу рассмотреть  направления защиты информации, стимулируемые банковскими приложениями. Также хочу рассказать что же такое криптография, рассмотреть средства защиты информации и  основные цели информационной безопасности. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

2. Основная  часть

2.1. Новые направления,  стимулируемые банковскими приложениями 

   Существуют криптографические схемы  (такие как криптосистемы, схемы  электронной подписи и т. п.) универсального назначения. По отношению  ко всем этим схемам защита  банковской информации - всего лишь  одна из возможных областей применения. В то же время в теоретической криптографии имеются два направления исследований, разрабатываемых специально и исключительно для банковских приложений. Сюда относятся так называемые банковские криптографические протоколы и криптографическое обеспечение банковских карточек. В современном понимании банковская карточка - это интеллектуальная карточка с соответствующей «начинкой». Криптографическая часть подобной начинки может включать в себя как специфические для банков компоненты, так и криптоалгоритмы, реализующие схемы аутентификации, электронной подписи и т. п.

   Криптография - это искусство скрытия  информации в последовательности  битов от любого несанкционированного  доступа. Для достижения этой  цели используют шифрование: сообщение  с помощью некоторого алгоритма комбинируется с дополнительной секретной информацией (ключом), в результате чего получается криптограмма. Долгое время способы разработки алгоритмов шифрования определялись исключительно хитростью и изобретательностью их авторов. И лишь в ХХ веке этой областью заинтересовались математики, а впоследствии - и физики.

   Интеллектуальные карточки - это  новое поколение пластиковых  карточек, отличающееся от всех  предшествующих развитыми возможностями  для реализации средств защиты  информации. В банковских системах недалекого будущего интеллектуальные карточки, по-видимому, станут основным платежным средством, вытеснив ныне используемые карточки с магнитной полосой. Вместе с тем имеющиеся в интеллектуальных карточках вычислительные возможности еще недостаточны для эффективной реализации сложных криптографических схем. Поэтому проблема компромисса между эффективностью реализации и стойкостью криптографических схем остается достаточно острой для банковских систем, использующих интеллектуальные карточки.

   Второе новое направление - это  банковские криптографические протоколы,  обеспечивающие безопасность систем  электронных платежей. Иногда ныне  используемые автоматизированные  системы банковских расчетов  также называют системами электронных  платежей. Но на самом деле они представляют собой системы безналичного расчета с использованием современных средств связи. В «настоящих» же системах электронных платежей бумажные деньги полностью заменяются электронными деньгами, которые могут использоваться клиентами для платежей при расчетах не только с банком, но и между собой. Другой отличительной особенностью систем электронных платежей является обеспечение неотслеживаемости действий клиентов. Необходимость обеспечения неотслеживаемости зарубежные специалисты объясняют на примерах подобных следующему. Находящиеся ныне в обращении кредитные карточки полностью идентифицируют их владельцев при каждом платеже. Если клиент использует кредитную карточку для покупки билетов на автобусы, то транспортная компания тем самым имеет возможность отслеживать все его поездки. Разумеется, подобное злоупотребление не выглядит слишком серьезной угрозой, однако обобщение сценария на случай переводов крупных сумм и участия организованной преступности очевидно. Необходимость обезопасить автоматизированные банковские системы от посягательств уголовных элементов хорошо осознана разработчиками. Однако они пытаются обеспечивать безопасность путем шифрования данных, не отдавая себе отчета в том, что здесь речь идет о неотслеживаемости, а вовсе не о конфиденциальности.

   Из сказанного выше становится  очевидной несостоятельность следующего  тезиса противников неотслеживаемости:  она (неотслеживаемость) не нужна,  поскольку если клиент не доверяет  банку, то он никогда не положит  в этот банк свои деньги. На самом деле клиент не доверяет персоналу, работающему в банке и третьим лицам, которые могут перехватывать информацию в каналах связи. С другой стороны, всякий банк, который заботится о неотслеживаемости платежей, повышает доверие клиентов к себе.

   Индивидуальным платежным средством  в системах электронных платежей  является электронный бумажник  клиента. Электронный бумажник - это карманный вычислитель со  встроенным в него защищенным  модулем. Бумажник выдается клиенту  и используется в системах электронных платежей как электронные бумажники, с одной стороны, обеспечивают неотслеживаемость действий клиента, а с другой - безопасность банка и высокую эффективность системы электронных платежей.¹ 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

2. Современные средства защиты

 

   Цена перестала быть критерием  выбора средств защиты информации  для банков. Рынок программных  и аппаратных средств защиты  банковской информации стремительно  растет — эксперты называют  и десятки, и сотни процентов  роста объемов в год по разным направлениям. Да так ли важны точные оценки, если «паранойя» в банках развивается по нарастающей: расширяя бизнес, банки понесли первые потери, оценили угрозы и теперь защищаются от клерков, шпионов, мошенников.

   Рынок растет и будет расти.  Большинство экспертов остерегаются давать количественные характеристики нынешнего состояния рынка систем криптографической защиты информации в целом и прогнозировать темпы его роста. Но наглядное представление о динамике роста могут дать цифры по отдельным сегментам. Генеральный директор компании Aladdin Сергей Груздев приводит следующие данные: «В сегменте рынка, на котором работает наша компания, спрос на средства усиленной аутентификации как коммерческими банками, так и организациями ЦБ РФ вырос примерно в три раза по сравнению с показателями прошлого года. На простейшие идентификаторы, такие как «таблетки», типа iButton, спрос также вырос и составил порядка 40%».

   Разброс же цен на отдельные  продукты очень велик — от 5 долларов за лицензию и до  нескольких сотен долларов за клиентское место. В некоторых случаях стоимость может возрастать до нескольких тысяч долларов, если речь идет об аппаратуре.

   Что касается качественных характеристик  развития рынка, то здесь оценки  наблюдателей довольно сильно  разнятся. Одни считают, что рынок переживает качественные перемены спроса. «В целом сегодня мы наблюдаем активный переход от использования дискет, «таблеток» и иных простых идентификаторов к применению более надежных и защищенных носителей, таких как смарт-карты и USB-ключи с функциональностью смарт-карт. В основном ставка делается на сертифицированные носители и использование их для хранения цифровых сертификатов и применения российской криптографии», — рассказывает С. Груздев (Aladdin). В связи с этим позитивной тенденцией является то, что сегодня банки делают свой выбор исходя из функциональных возможностей и надежности носителей. Цена перестала быть приоритетным (а зачастую и единственным) критерием выбора, как это было ранее.

   Другие эксперты говорят об  отсутствии изменений революционного характера, равно как и предпосылок для их возникновения. «Системообразующих изменений не происходит. Появляются новые продукты, выходят новые версии существующих. Но по сути ничего радикально нового мы не наблюдаем. На общем фоне ровного развития рынка заметна, пожалуй, тенденция на удешевление средств защиты информации. Также есть тренд на более глубокую интеграцию СКЗИ и прикладного ПО», — говорит директор департамента систем электронного банковского обслуживания компании R-Style Softlab Виктор Иванов.

   Эксперт считает, что можно  быть твердо уверенным в росте  интереса банков к более совершенным  антивирусным средствам защиты  и средствам криптозащиты с  течением времени. По мере развития  филиальной сети у банков появятся  новые дополнительные каналы передачи данных, которые в свою очередь потребуют средств защиты. Так что будет расти объем рынка, равно как и качество предлагаемых продуктов.

    
 
 
 
 
 
 

3. Банк защищается от клерков

 

   Сергей Груздев (Aladdin) полагает, что  с точки зрения тенденций внутри банка очевидно, что изменилась основная модель угроз безопасности. На первый план выдвигаются продукты, связанные с защитой от инсайдера, то есть собственного сотрудника банка. Мы наблюдаем резкий рост интереса организаций банковской сферы к этой теме. Здесь можно обозначить, по крайней мере, две тенденции: стремительный отказ от малоэффективной парольной защиты (логин-пароль) и переход к единому идентификатору (USB-ключу или смарт-карте) для доступа ко всем приложениям, а также для доступа в помещения (смарт-карта) с возможностью отслеживания по RFID-меткам местонахождения сотрудника. Единая смарт-карта особенно востребована в тех банках, где согласованы действия службы физической безопасности и офицера по информационной безопасности (ИБ).

   В том, что внутренние угрозы  представляют несравненно большую  опасность, нежели внешние, согласны  практически все аналитики. Так,  по данным заместителя Института  банковского дела Ассоциации  российских банков (АРБ) Бориса  Скородумова, 76% всех преступлений в банке совершается непосредственно его сотрудниками или же с их непосредственным участием. Не случайно краеугольным камнем целостной системы риск-менеджмента является предупреждение и нейтрализация именно операционных рисков.

   С уверенностью можно сказать, что катализатором активного распространения единых средств идентификации стало появление универсальных систем управления жизненным циклом электронных ключей (например, Token TMS — Token Management System) и смарт-карт (CMS — Card Management System) в масштабе предприятия. Этот продукт является связующим звеном между пользователями, их средствами аутентификации, security-приложениями и политикой безопасности, принятой в банке. Такие системы обеспечивают «прозрачность» управления и переводят административный контроль банковской информационной инфраструктуры на качественно новый уровень. Кто-то говорит об установлении, по сути, тотального контроля. Кто-то об упрощении жизни пользователя, поскольку теперь ему не приходится запоминать по 5—7 паролей для доступа к каждому приложению или — что сводит на нет все усилия офицера по ИБ — записывать эти пароли. Но это всего лишь разница оценочных, но не содержательных суждений. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

4. Система «свой-чужой» для банка и клиента

 

   Востребованность банками тех или иных продуктов жестко детерминируется самим характером угроз. Лавинообразный рост номенклатуры и доли банковских услуг с использованием интернета в «линейке» банковских предложений привел к возникновению новой группы взаимосвязанных преступлений. Ничего более точного для обозначения этого явления, чем калька с английского fishing — «фишинг», — русский язык пока не предложил. Фишингом именуется тип компьютерного мошенничества, основанный на создании поддельных web-ресурсов, позволяющих ввести пользователя в заблуждение (через спам, например, письма с заголовком «Извещение пользователей банковских услуг о переходе на новую систему зачисления платежей») и получить его конфиденциальные данные, как то: пароль, PIN-код и т.п. Причем пользователь, попавший в сети фишера, может наблюдать настоящий адрес банковского сайта в адресной строке браузера, но находиться сам при этом будет на сайте-подделке. Таким образом, продукты, защищающие от перехвата конфиденциальных данных, являются одними из самых востребованных сегодня.