Платіжні системи - Вовчак О. Д. - 4.2. Відповідальність суб'єктів переказу за забезпечення захисту інформації та принципи реалізації політики безпеки

Суб'єкти переказу зобов'язані виконувати встановлені законодавством України та правилами платіжних систем вимоги щодо захисту інформації, яка обробляється за допомогою цих платіжних систем. Правила платіжних систем мають передбачати відповідальність за порушення цих вимог з урахуванням вимог законодавства України.

При проведенні переказу його суб'єкти мають здійснювати в межах своїх повноважень захист відповідної інформації від:

- Несанкціонованого доступу - доступу до інформації щодо переказу, що є банківською таємницею або є конфіденціальною інформацією, осіб, які не мають на це прав або повноважень, визначених законодавством України, а також якщо це не встановлено договором;

- Несанкціонованих змін інформації - внесення змін або часткового чи повного знищення інформації щодо переказу особами, які не мають на це права або повноважень, визначених законодавством України, а також встановлених договором;

- Несанкціонованих операцій з компонентами платіжних систем - використання або внесення змін до компонентів платіжної системи протягом її функціонування особами, які не мають на це права або повноважень, визначених законодавством України, а також встановлених договором.

Суб'єкти переказу зобов'язані повідомляти платіжну організацію відповідної платіжної системи про випадки порушення вимог захисту інформації. У разі виявлення при цьому ознак, що можуть свідчити про вчинення злочину, суб'єкти переказу та інші учасники платіжних систем зобов'язані повідомити про такий випадок порушення вимог захисту інформації відповідні правоохоронні органи.

Перерахуємо загальні принципи реалізації політики безпеки та механізми захисту:

1. Ідентифікація, автентифікація й авторизація всіх суб'єктів та об'єктів платіжної системи, а також усієї інформації.

2. Контроль входу користувача до системи та керування системою паролів. Прикладом цього процесу може бути вхід до системи з уведенням імені користувача (ідентифікація), введенням пароля (автентифікація) й отриманням дозволу на доступ (авторизація).

3. Реєстрація, протоколювання й аудит. Ці функції забезпечують отримання й аналіз інформації про стан ресурсів системи, реєстрацію дій, які можуть бути визначеними як небезпечні ситуації, ведення журналу системи, який допоможе оперативно зафіксувати події, що відбуваються у системі.

4. Контроль за цілісністю, тобто захист від несанкціонованої модифікації суб'єктів системи.

5. Протидії "збиранню сміття", тобто визначення заходів, які можуть забезпечувати повне звільнення пам'яті або носіїв інформації від рештків конфіденційної інформації, що не повинна залишатися після закінчення процесів обробки платіжних документів на носіях інформації або в пам'яті обчислювальних машин.

6. Контроль за доступом, тобто обмеження можливостей використання ресурсів системи програмами, процесами і користувачами згідно з політикою безпеки. Існують чотири способи розподілу доступу до об'єктів, що використовуються спільно:

1) Фізичний розподіл доступу: користувачі та інші суб'єкти системи мають доступ до різних пристроїв, програм або даних;

2) Розподіл доступу в часі: суб'єкти системи з різними правами отримують доступ до програм або даних у різні відрізки часу;

3) Логічний розподіл: суб'єкти мають доступ до різних пристроїв, процесів або даних, що використовуються спільно, в межах операційної системи, але під контролем засобів розподілу доступу;

4) Криптографічний розподіл доступу: деяка частина інформації системи зберігається у зашифрованому вигляді, й фактично права доступу визначаються наявністю ключа дешифрування цієї інформації.

Схожі статті




Платіжні системи - Вовчак О. Д. - 4.2. Відповідальність суб'єктів переказу за забезпечення захисту інформації та принципи реалізації політики безпеки

Предыдущая | Следующая