ООО «RAQAMLI BIZNES AGREGATOR»
ПОЛИТИКА БЕЗОПАСНОСТИ
1. Защита информации в платежных системах
1. Оценка соответствия платежной системы требованиям по безопасности
информации и разработка плана мероприятий по обеспечению соответствия:
- сбор и анализ свидетельств аудита;
-
анализ документации организации и бизнес-процессов, в части
функционирования платежной системы;
- интервьюирование представителей организации;
-
анализ полноты и эффективности реализуемых мер по защите информации;
-
вычисление обобщающих показателей соответствия и итогового показателя
соответствия;
- документирование результатов оценки соответствия;
-
разработка плана организационно-технических мероприятий по обеспечению
соответствия платежной системы требованиям по безопасности информации.
2. Анализ защищенности платежной системы
-
идентификация и анализ организационных уязвимостей ИБ платежной системы;
-
идентификация и анализ технических уязвимостей ИБ платежной системы для
внешнего периметра корпоративной сети и внутренний ИТ-инфраструктуры;
-
анализ защищенности программных модулей и сервисов платежной системы;
- оценка уровня защищенности платежной системы;
-
разработка рекомендаций по повышению уровня защищенности платежной
системы и совершенствованию механизмов защиты.
3. Оценка и обработка рисков информационной безопасности платежной
системы
- инвентаризация активов платежной системы;
-
разработка моделей угроз и нарушителей информационной безопасности
платежной системы;
-
оценка информационных активов, угроз, уязвимостей и механизмов контроля
ИБ платежной системы;
- формирование реестра информационных рисков платежной системы;
- определение допустимого уровня остаточных рисков;
-
подготовка и согласование решений по обработки рисков платежной системы;
-
разработка и согласование плана обработки рисков платежной системы.
4. Разработка комплекса организационно-распорядительных документов для
обеспечения соответствия платежной системы организации требованиям по
безопасности информации
-
определение требований к процессам обеспечения информационной
безопасности в платежной системе;
- определение ролей и ответственности персонала;
-
определение порядка взаимодействия между подразделениями для реализации
мер по защите информации в платежной системе;
-
разработка и согласование проектов организационно-распорядительных
документов по обеспечению информационной безопасности платежной системы.
5. Разработка и внедрение технических решений по комплексу
программно-технических средств защиты информации в платежной системе
- проектирование архитектуры обеспечения ИБ платежной системы;
-
выбор основных технических решений по защите информации в платежной
системе;
-
определение состава сертифицированных СЗИ по каждой подсистеме защиты и
анализ их технической совместимости;
-
разработка проектной документации, описание процессов и механизмов
функционирования СЗИ;
- поставка и внедрение СЗИ;
-
проведение приемо-сдаточных испытаний подсистемы информационной
безопасности платежной системы;
-
проведение аттестационных испытаний платежной системы по требованиям
безопасности информации (опционально).
Информационные системы стали основой функционирования большинства
компаний, от их работоспособности зависят непрерывность и качество
течения бизнес-процессов. Выбор механизма защиты зависит от категории
информационных ресурсов.
2. Информация и необходимость ее защиты
Информация представляет собой сведения, передающиеся в любой форме –
устной речи, бумажного документа, файла. Она имеет ценность не только
для ее владельца, но и для третьих лиц, способных использовать чужие
конфиденциальные данные для получения конкурентного преимущества или
личного обогащения.
3.Информационные массивы подразделяются на три группы:
-
данные, для которых отсутствует необходимость защиты от утечек, или
общедоступные, раскрытие которых обусловлено нормами законов;
-
защищаемые в качестве коммерческой тайны при условии введения режима
коммерческой тайны и составления перечня сведений, относимых к ней;
-
те, которые необходимо охранять исходя из требований законодательства
– банковская или государственная тайны, персональные данные.
В зависимости от категории данных компании выбирают необходимые средства
из арсенала защиты. Они делятся на группы:
-
административные и организационные, выстраивающие систему управления в
компании таким образом, чтобы исключить несанкционированный допуск к
данным;
-
технические, аппаратными средствами блокирующие НСД (токены, при
помощи которых происходит аутентификация, заглушки на USB-входы в
компьютер);
-
программные, равно защищающие от несанкционированного доступа
инсайдеров и от внешних атак.
4. Безопасность электронных платежных систем
Современную практику банковских операций, торговых сделок и взаимных
платежей невозможно представить без расчетов с применением пластиковых
карт.
Система безналичных расчетов с помощью пластиковых карт называется
электронной платежной системой .
Для обеспечения нормальной работы электронная платежная система должна
быть надежно защищена.
C точки зрения информационной безопасности в системах электронных
платежей существуют следующие уязвимые места:
-
пересылка платежных и других сообщений между банками, между банком и
банкоматом, между банком и клиентом;
-
обработка информации внутри организации отправителя и получателя
сообщений;
- доступ клиентов к средствам, аккумулированными на счетах.
Пересылка платежных и других сообщений связана с такими особенностями:
-
внутренние системы организаций отправителя и получателя должны
обеспечивать необходимую защиту при обработке электронных документов
(защита оконечных систем);
-
взаимодействие отправителя и получателя электронного документа
осуществляется опосредовано - через канал связи.
Эти особенности порождают следующие проблемы:
-
взаимное опознание абонентов (проблема установления взаимной подлинности
при установлении соединения);
-
защита электронных документов, передаваемых по каналам связи (проблема
обеспечения конфиденциальности и целостности документов);
-
защита процесса обмена электронными документами (проблема доказательства
отправления и доставки документа);
-
обеспечение исполнения документа (проблема взаимного недоверия между
отправителем и получателем из-за их принадлежности к разным организациям
и взаимной независимости).
Для обеспечения функций защиты информации на отдельных узлах системы
электронных платежей должны быть реализованы следующие механизмы защиты:
- управление доступом на оконечных системах;
- контроль целостности сообщения;
- обеспечение конфиденциальности сообщения;
- взаимная аутентификация абонентов;
- невозможность отказа от авторства сообщения;
- гарантии доставки сообщения;
- невозможность отказа от принятия мер по сообщения;
- регистрация последовательности сообщений;
- контроль целостности последовательности сообщений.
5. Корпоративная информационная безопасность
Для решения общих задач информационной безопасности, не связанных
исключительно с персональными данными или государственной тайной,
компании разрабатывают собственные системы защиты с опорой на
комплексные решения, например, на SIEM- и DLP-системы. Выбор программных
и технических решений опирается на модель угроз, зависящую от типа
обрабатываемой информации и вида бизнеса организации. Также итоговые
программные решения зависят от типов корпоративных систем, использования
АСУ, CRM-систем, программ автоматизированного электронного
документооборота.
Построение единого механизма обеспечения безопасности информационных
систем строится по алгоритму:
-
проведение аудита существующей сети, элементов инфраструктуры,
программного обеспечения, выявление узких мест и определение
направлений модернизации;
-
разработка и утверждение политики безопасности, определяющей ключевые
моменты ее обеспечения – от правил работы со съемными носителями до
принципов использования Интернета и личных ящиков электронной почты в
профессиональной деятельности;
-
создание системы аутентификации пользователей требуемого уровня, при
необходимости с использованием двухфакторного механизма, исключающего
возможность несанкционированного доступа к защищенным данным;
-
реализация одной из моделей дифференцированного доступа, при котором в
зависимости от ранга пользователя ему предоставляется возможность
совершать необходимые операции с файлами;
-
создание системы мониторинга работоспособности ИС при помощи сканеров,
выявляющих уязвимости, разработка правил стандартной реакции на них,
создание базы данных инцидентов с целью последующего анализа
статистики;
-
создание защиты каналов связи, по которым связываются пользователи на
удаленном доступе, от несанкционированных подключений, использование
защищенных протоколов, VPN-туннелей;
-
использование криптографических средств защиты информации,
обеспечивающих безопасность баз данных и трафика;
-
создание системы управления конфигурацией, поддержание функций среды
ИС в соответствии с требованиями.
Для реализации стратегии необходимо или привлечение профессиональных
организаций на условиях аутсорсинга, или создание собственного
дееспособного ИТ-подразделения, которое может оперативно и эффективно
реагировать на инциденты информационной безопасности. Модель управления
рисками при выстраивании механизма обеспечения информационной
безопасности может опираться на национальные стандарты, ГОСТы или на
зарубежные методики. Это зависит от уровня угроз и того, от кого
необходимо в большей степени защищать информацию – от внешних или
внутренних нарушителей. Построение механизма всегда опирается на принцип
целесообразности: принимаемые меры безопасности не должны быть
избыточными и мешать эффективному функционированию бизнеса. Модель
доступа к информационным ресурсам должна обеспечивать их постоянную
вовлеченность в бизнес-процессы компании.
В резервном сервере работаю программный файрволл.