Центр исследования компьютерной преступности

home контакты

Как киберпреступность влияет на развитие оффлайн обменных пунктов электронных платежных систем и электронных магазинов в Восточной Европе

Дата: 07.11.2007
Источник: crime-research.ru
Автор: Павел Тоннэ


etc/eye.jpg ... организационно-технические документы, связанные с действиями в непредвиденных обстоятельствах, при нарушениях безопасности и т.д.)
2. Физическая безопасность (обеспечение физической защиты оборудования, режима доступа в помещения и т.д.)
3. Безопасность окружения (вопросы, связанные с электропитанием, обеспечением защиты от пожара, протечек воды и т.д.)
4. Вопросы, связанные с персоналом (основные моменты, связанные с приемом на работу, увольнением, соглашениями о неразглашении служебной информации и т.д.)
5. Компьютерная и эксплуатационная безопасность (программные или программно-аппаратные средства для обеспечения разграничения доступа, авторизации, сбора статистики, защиты информации при передаче, вопросы, связанные с операторским обслуживанием систем, резервным копирование, сервисным обслуживанием)

Факторами, влияющими на уровень безопасности, являются: конфиденциальность, доступность и целостность. Поскольку эти три понятия важны для оценки уровня безопасности и следует ясно понимать, что именно они означают, возможные неприятности и количественные параметры, связанные с ними, предположительные оценки стоимости и расходов.

Конфиденциальность

Конфиденциальность подразумевает необходимость сохранения секретов. Вопрос о сохранении конфиденциальности должен касаться всей внутренней информации в обменном пункте или электроном магазине.
Закрытая или другая конфиденциальная информация должна быть защищена, так как ее несанкционированное раскрытие может привести к значительным потерям. Часто конфиденциальность оказывается зависящей от времени. Требующая первоночально огромных усилий для своей защиты, информация постепенно теряет ценность. Подобную возможность следует принимать во внимание при анализе.

Не мешает также попытаться оценить денежные суммы, которые мог бы потратить человек или группа лиц для получения этой информации. Тем самым часто можно заранее оценить размер угрозы, в особенности, когда это касается информации по маркетингу или бюджету, или когда это связано с корпоративной активностью или действиями с выписыванием счетов. Например, при рациональном использовании списки с именами потребителей могут представлять значительную ценность.
Существует масса информации, которая, став общедоступной, может повлечь за собой большие затруднения или потерю престижа компании. И хотя перевод этой формы угрозы в долларовый эквивалент весьма непрост, все-таки следует предпринять такие попытки.

Доступность

Термин "доступность" означает требование непрерывной доступности того или иного сервиса. Тот факт, что пользователю требуются сервисы (услуги) для проведения обменных операций, приобретения пин-кодов пополнения, предполагается, что они имеют для пользователя определенную ценность. Доступность обратно пропорционально максимальному периоду простоя, который владелец обменного пункта или магазина может себе позволить. Очевидно, что 100% аптайма быть не может. Требуются технические работы.

Сервисы по обработке данных должны быть доступны сообществу пользователей, когда в них есть надобность. Хотя полная недоступность маловероятна, однако незапланированные периоды простоя с разной степенью тяжести оказываются абсолютно очевидными. Владелец должен определить границы, в пределах которых он может положиться на систему. Такое доверие может привести к значительной разнице в эксплуатационных расходах на систему, что повлечет за собой введение дополнительных требований к восстановлению информации или системам резервного копирования.

Целостность

Целостность обработки данных относится к их подлинности, точности и полноте. Многие пользователи слепо доверяют целостности компьютерных систем, веря в то, что компьютеры не делают ошибок. К сожалению, введенная в систему информация может не подлежать восстановлению из-за допущенных ошибок, оплошностей, сбоев или злонамеренного ущерба. Отсюда следует, что не стоит слепо доверять целостности информации в компьютерах, если только не приняты соответствующие меры предосторожности.

Достаточно очевидна возможность перевода целостности информации в денежный эквивалент, когда данные обладают какой-либо стоимостью. Например, в качестве стоимости целостности финансовой системы следовало бы взять максимум ежегодных ожидаемых потерь, если бы кто-то энергично манипулировал программами или данными. Для системы учета товаров это могла бы быть стоимость пропавшего за год оборудования. На системах управления процессом это могла бы быть стоимость потерь, которые возникали бы при отклонениях работы процессов. Для других систем стоимость целостности можно связать с потерей престижа или с конечным результатом извлечения фальсифицированной информации.

Административная безопасность

Для каждой системы должен быть назначен администратор безопасности. Лучше всего, когда администратором выступает владелец. Он должен нести ответственность за все вопросы безопасности, включая:
• координацию всех аспектов безопасности
• периодический контроль средств защиты
• консультации по проблемам безопасности
Администратор безопасности системы должен отвечать за определение уровня безопасности систем и сервисов. Оценки уровня безопасности должны выполняться на регулярной основе. Частота таких оценок зависит от уровня секретности обрабатываемой информации и критичности сервисов.

Необходимо распределять обязанности исходя из принципа "разделения обязанностей". Там, где этот принцип не может быть реализован из-за ограниченности личного состава, следует установить компенсирующий контроль.
При определении полномочий необходимо руководствоваться принципом минимальности прав пользователей и администраторов

Для всех систем необходимо составить документацию с описанием требований к конфиденциальности, доступности и целостности. В ней должны отражаться любые изменения в отношении уязвимости.

Необходимо составить план действий на случай непредвиденных обстоятельств. В этом плане следует определить:
• максимальный допустимый период простоя для каждой системы или сервиса
• механизм восстановления основных сервисов в случае каких-либо происшествий. Сервисы должны быть восстановлены в течение максимально допустимого периода времени.
• список мероприятий на случай эвакуации. При эвакуации не должен снижаться уровень безопасности системы
Безопасность, связанная с персоналом
Проверяйте рекомендации, предыдущие места работы, дипломы, представляемые претендентом на должность в администратора перед тем, как сделать выбор.
Временные служащие не должны иметь доступ к закрытой информации или информации о служащих без предварительного одобрения администратора.
Все служащие или временные сотрудники должны подписать соответствующий договор о неразглашении.

После окончания срока работы сотрудника необходимо сразу же:
• лишить его прав доступа к ресурсам с ограниченным доступом, системам или сервисам и закрытой информации.
• забрать у него обратно засекреченные материалы
• забирать у него закрепленные за ним принадлежности
При переводе сотрудника на другую должность необходимо пересмотреть его права доступа.

При уходе сотрудника в долгосрочный отпуск необходимо приостановить действие всех привилегий доступа. Для этого достаточно изменить пароль доступа на некоторую цепочку символов, неизвестных лицу.

При увольнении администратора необходимо предусмотреть ряд мер для предотвращения возможных злонамеренных действий администратора (троянские кони, "дыры" для неавторизованного входа в систему, подмена программного обеспечения). Такие действия, выполненные квалифицированным специалистом зачастую крайне трудно обнаружить, и они могут проявиться спустя значительный период времени после ухода администратора.

Компьютерная и эксплуатационная безопасность

Для связи системы с другим оборудованием желательно использовать один из следующих видов связи:
o выделенный канал связи
o шифрование канала связи
o замкнутая подсеть
o телефонное соединение, инициированное самим хостом
o устройство контроля доступа или соответствующая методология (т.е. идентификация, модем с защитой передаваемой информации или прямой доступ в систему).
Обеспечьте защиту локальной сети от проникновения из Интернет (например, при помощи межсетевого экрана)
Не храните в системе персональные программы .
Обеспечьте автоматическое завершение терминального соединение после заданного периода неактивности.
В системах должны быть точно выставлены время и дата.
Задайте конечное число попыток входа пользователя в систему с разрывом соединения или блокировкой идентификатора при превышении числа неудачных попыток
При выходе из системы следует очищать экраны терминалов и буфера.
При неудачных попытках входа в систему не сообщайте пользователю причину отказа.

Регистрируйте события, связанные с защитой:
• ввод заданий, запуск, завершение, удаление, рестарт и аварийное прекращение.
• вход/выход для пользователей из системы
• монтирование/демонтирование дисков
• системные сообщения или запросы
• запуск и останов системы или подсистемы
• резервное сохранение и восстановление
• использование функций, влияющих на систему сбора статистики (т.е. печать, удаление, переименование, внесение изменений)
• переполнение системы сбора статистики
• изменения в системе управления доступом
• изменения в списках авторизованных пользователей
• обнаруживаемые нарушения безопасности

Контролируйте процесс...

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2019 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.