Размещено на http://www.allbest.ru/

Курсовая работа

«Глобальные информационные системы-сети. Уязвимость и безопасность»

СОДЕРЖАНИЕ

ВВЕДЕНИЕ. ОБЗОР ГЛОБАЛЬНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ-СЕТЕЙ

1. ИСТОРИЧЕСКАЯ СПРАВКА О ПЛАТЁЖНЫХ СИСТЕМАХ VISA INTERNATIONAL И MASTERCARD INTERNATIONAL

1.1 Прошлое и настоящее платёжной системы Visa International

1.2 История платёжной системы MasterCard International

2. РАЗВИТИЕ «ПЛАСТИКОВОГО» РЫНКА И ЕГО ПРОБЛЕМЫ. КРАТКИЙ ОБЗОР

2.1 Рождение пластиковой карты

2.2 Карты с чипом или «смарт-карты»

2.3 Состояние рынка пластиковых карт до 2005 года

2.4 Провал платёжных систем

2.5 Последствия событий мая 2005 года

3. СОВРЕМЕННЫЕ ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ МЕЖДУНАРОДНЫХ ПЛАТЁЖНЫХ СИСТЕМ

ЗАКЛЮЧЕНИЕ

ИСПОЛЬЗОВАННЫЕ ИСТОЧНИКИ

ВВЕДЕНИЕ. ОБЗОР ГЛОБАЛЬНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ-СЕТЕЙ

платежный пластиковый карта безопасность

Мы живем в современном мире, повседневная жизнь в котором неотъемлемо связана с многочисленными электронными компьютерными устройствами. Большинство из них являются частью одной или нескольких информационных систем и сетей, образуя единое поле для обмена информацией через линии связи.

Сеть представляет собой совокупность компьютеров, объединенных средствами передачи данных. Средства передачи данных в общем случае могут состоять из следующих элементов: связных компьютеров, каналов связи (спутниковых, телефонных, цифровых, волоконно-оптических, радио- и других), коммутирующей аппаратуры, ретрансляторов, различного рода преобразователей сигналов и других элементов и устройств.

Архитектура сети ЭВМ определяет принципы построения и функционирования аппаратного и программного обеспечения элементов сети.

Современные сети можно классифицировать по различным признакам: по удаленности компьютеров, топологии, назначению, перечню предоставляемых услуг, принципам управления (централизованные и децентрализованные), методам коммутации (без коммутации, телефонная коммутация, коммутация цепей, сообщений, пакетов и дейтаграмм и т. д.), видам среды передачи и т. д.

Локальные и глобальные сети Internet

В зависимости от удаленности компьютеров сети условно разделяют на локальные и глобальные.

Произвольная глобальная сеть может включать другие глобальные сети, локальные сети, а также отдельно подключаемые к ней компьютеры (удаленные компьютеры) или отдельно подключаемые устройства ввода-вывода. Глобальные сети бывают четырех основных видов: городские, региональные, национальные и транснациональные. В качестве устройств ввода-вывода могут использоваться, например, печатающие и копирующие устройства, кассовые и банковские аппараты, дисплеи (терминалы) и факсы. Перечисленные элементы сети могут быть удалены друг от друга на значительное расстояние.

В локальных вычислительных сетях (ЛВС) компьютеры расположены на расстоянии до нескольких километров и обычно соединены при помощи скоростных линий связи со скоростью обмена от 1 до 10 и более Мбит/с (не исключается случай соединения компьютеров и с помощью низкоскоростных телефонных линий). ЛВС обычно развертываются в рамках некоторой организации (корпорации, учреждения). Поэтому их иногда называют корпоративными системами или сетями. Компьютеры при этом, как правило, находятся в пределах одного помещения, здания или соседних зданий.

Рассмотрим наиболее популярные глобальные информационные сети:

WWW (World Wide Web, всемирная паутина) - совокупность взаимосвязанных гипермедийных документов.

FTP (File Transfer Protocol, протокол передачи файлов) - хранилище и система пересылки всевозможных файлов.

E-mail (электронная почта) - система пересылки электронных писем.

ICQ - (Chat) - служба для живого общения пользователей Интернета в реальном режиме времени посредством ввода текста с клавиатуры.

Платежная система - ассоциация банков и компаний, работающих по общим правилам использования карточек. Основу платежной системы составляет совокупность нормативных, договорных, финансовых и информационно-технических средств, а также решений участников, которые регламентируют свои взаимоотношения относительно порядка использования карточек. В платежной системе существуют несколько статусов членства: полное, частичное и т.д. Все карточки, которые принадлежат к одной платежной системе имеют признаки, позволяющие идентифицировать их принадлежность к этой платежной системе.

Сети 3G (технологии мобильной связи 3 поколения) - набор услуг, который объединяет как высокоскоростной мобильный доступ с услугами сети Интернет, так и технологию радиосвязи, которая создаёт канал передачи данных.

1. ИСТОРИЯ ПЛАТЁЖНЫХ СИСТЕМ VISA INTERNATIONAL И MASTERCARD INTERNATIONAL

1.1 Visa International

Visa Inc. -- американская компания (Сан-Франциско, Калифорния), предоставляющая услуги проведения платёжных операций. Является основой одноименной ассоциации.

Visa International Service Association -- ведущая платежная система мира.

История Visa началась в 1958 году, когда Bank of America выпустил сине-бело-золотую карту BankAmericard. C ростом национальной популярности карт банка BankAmerica для их поддержки была учреждена отдельная организация «BankAmericard Service Corporation», в которой сосредоточились все операции с карточками «BankAmericard» и которая начала продавать лицензии на выпуск карточек другим банкам. Последние должны были придерживаться стандартов и правил обращения с карточками. В 1976 г. эта структура получила имя «Visa». По своему статусу это была ассоциация, членами которой становились банки. В октябре 2007 года как отдельное юридическое лицо учреждена корпорация Visa Inc., а Visa U.S.A., Visa International, Visa Canada и Inovant стали прямыми или косвенными филиалами компании. Visa Europe не стала филиалом, а остаётся в собственности и управляется европейскими финансовыми учреждениями -- членами ассоциации.

Со временем кредитные карты Visa получили широкое распространение во всём мире. В 1980-х и 1990-х Visa предложила клиентам первые элитные карты, создала первую глобальную систему банкоматов, разработала новые смарт-карты и предоплаченные карты.

В настоящее время:

· ежегодный торговый оборот по картам Visa составляет 2,5 триллиона долларов США. Карты Visa принимаются к оплате в торговых точках более 150 стран мира. Организация играет центральную роль в разработке инновационных платёжных продуктов и технологий, которые использует 21 тысяча финансовых организаций -- членов платёжной системы и держатели их карт.

· Выпускаются карты:

- Visa Electron. Самый простой вид карт. Не имеет выпуклых элементов, что ограничивает возможность использования этого вида карт в терминалах, основанных на снятии оттиска с карты (механическое копирование, без подключения к базе данных). Как правило, установлены минимальные лимиты на операции и минимальные гарантии;

- Visa Virtual Card. Аналог Visa Electron, но без физического выпуска карты. Фактически, это предоставление владельцу лишь реквизитов карты (номер, CVC-код, дата действия и т.п.), которые можно использовать для оплаты через интернет. Удешевляется эмиссия карты, но снижается защищённость. Обычно являются предоплаченными в момент эмиссии и не предусматривают возможность пополнения. Могут быть анонимными, что иногда вызывает трудности при обработке в платёжных системах с обязательной верификацией имени владельца;

- Visa Classic. Карта со стандартным набором функций;

- Visa Gold. Имеет дополнительные гарантии платёжеспособности владельца;

- Visa Platinum. Элитная карта, которая обычно предоставляет возможность владельцу получить дополнительные услуги, скидки, страховки;

- Visa Infinite. Позиционируется как наиболее престижная карта для клиентов с наивысшей платежеспособностью.

· Visa International разделена на 6 регионов: Азия, Канада, СЕМЕА (Центральная и Восточная Европа, Средний Восток и Африка), ЕС (страны, входящие в состав Европейского союза), Латинская Америка и Карибский регион, США.

1.2 История платёжной системы MasterCard International

MasterCard Worldwide -- международная платёжная система, объединяющая 22 тысячи финансовых учреждений в 210 странах мира.

Основана в 1966 году в Нью-Йорке, США в результате соглашения между несколькими американскими банками об образовании ассоциации под названием Interbank Card Association. В 1968 году было заключено первое международное соглашение с мексиканским банком Banko Nacional. В том же году было подписано соглашение и с европейской системой Eurocard, положившее начало стратегическому партнёрству между ассоциациями MasterCard International и Europay International. Современное название платёжной системы принято в 1979. Участники платёжной системы MasterCard International предлагают широкий выбор карточных финансовых продуктов для физических и юридических лиц.

Ассоциация MasterCard International управляется её участниками. В целях координации и управления глобальным бизнесом, обеспечения продвижения на рынках брендов платёжной системы, разработки и внедрения новых технологий и стандартов была основана бесприбыльная (некоммерческая) неакционерная корпорация MasterCard International Incorporated.

Бизнес-интересы платёжной системы MasterCard International подразделяются на 5 регионов: Азиатско-Тихоокеанский регион; Североамериканский регион; Европейский, Ближневосточный и Африканский регион; Латиноамериканский регион; Регион Карибского бассейна.

MasterCard International Corporation владеет 100 % активов компании Cirrus Systems Incorporated, 51 % акций компании Mondex International, а также 50 % активов в Maestro International (совместном предприятии с Europay International S.A.)

Корпорация MasterCard International Incorporated и участники платёжной системы MasterCard International активно участвуют в разработке и внедрении технологий и стандартов микропроцессорных карточек, а также в продвижении карточек в качестве инструмента безопасных платежей на рынке электронной коммерции. В этих целях платёжная система участвует в работе нескольких международных консорциумов и форумов, работающих над внедрением стандартов мультифункциональных микропроцессорных карточек. В настоящее время участники платёжной системы приступили к реализации программ перевода карточных портфелей на чиповые технологии.

MasterCard является основным конкурентом системы VISA.

В настоящее время:

· Выпускаются карты:

- Cirrus;

- Maestro. Наиболее дешевая из популярных карт семейства. По карте запрещены транзакции без авторизации, как правило картой нельзя воспользоваться для оплаты в сети Internet. Выпускаются также карты Maestro без указания имени владельца;

- MasterCard Electronic;

- MasterCard Unembossed. Аналог карты Mass (Standard), данные которой (номер, владелец, дата) напечатаны, но не эмбоссированы. Карту нельзя использовать в импринтере;

- MasterCard Mass (Standard). Наиболее популярная пластиковая карта платёжной системы Europay/Mastercard. Карта эмбоссированная (хотя бывают и исключения) что позволяет проводить операции с помощью импринтера, имеет магнитную полосу и/или чип для проведения операций в предприятиях торговли и сервиса, оборудованных электронными терминалами, также возможна оплата картой по телефону и сети Internet;

- MasterCard Gold;

- MasterCard Platinum;

- MasterCard Virtual. Cпециальная карта, позволяющая своему владельцу совершать покупки в интернете. MasterCard Virtual не предназначена для оплаты покупок в обычных магазинах, снятия наличных в банкоматах и оплаты через интернет таких услуг, как бронирование билетов, отелей, автомобилей и т. п. Это несколько ограничивает сферу применения виртуальной карты, но зато исключает риск того, что вашей картой воспользуются злоумышленники. Виртуальная карта незаменима, если вы хотите отделить платежи в интернете от всех остальных расходов. В этом случае для расчетов в сети вы сможете использовать карту MasterCard Virtual, а для оплаты обычных расходов -- другую пластиковую карту.

2. РАЗВИТИЕ «ПЛАСТИКОВОГО» РЫНКА И ЕГО ПРОБЛЕМЫ. КРАТКИЙ ОБЗОР

2.1 Рождение пластиковой карты

Первый фальшивомонетчик, как известно, появился почти сразу же после изобретения денег. Точно так же и криминальный бизнес по производству фальсифицированных карт возник практически сразу же вслед за первой транзакцией по пластиковой карте. К тому же, карты тогда еще не были пластиковыми, а делались из картона либо иногда из металла и имели весьма примитивную защиту (полиграфическая печать плюс эмбоссирование, то есть нанесение на карту рельефных знаков методом механического тиснения), которую легко можно было преодолеть с помощью весьма нехитрых манипуляций. К примеру, первый фальсификат платежной карты изготавливался на удивление просто -- номер счета, эмбоссированный на карте, удалялся с помощью бритвы, а вместо него наклеивался другой номер, срезанный с другой карты.

По мере роста денежного оборота и числа пользователей вопрос безопасности карточных операций с каждым годом становился острее. Первым способом защиты записи карточной информации стало ее штрих-кодирование (для лучшей защиты штрих-код покрывался непрозрачным слоем). Впрочем, штрих-кодирование в платежных системах широкого распространения так и не получило.

Изобретение карты с кодированием на магнитной полосе западная пресса в свое время назвала настоящей революцией в сфере обеспечения безопасности пластикового бизнеса. Магнитная полоса может хранить около 100 байт информации, которая считывается специальным устройством. Первый банкомат для работы с магнитной картой был установлен в США в 1969 году.

Однако постепенно восторги по поводу надежности магнитной карты сменились глубоким разочарованием. Это стало особенно ясно уже в начале 80-х годов, когда подделка карт на Западе превратилась в массовое явление. Магнитные карты плохо защищены как от разного рода неблагоприятных внешних воздействий (например, магнитный слой может утратить свои свойства от электрического разряда), так -- и это их самый главный минус -- от мошенников. С помощью прибора, снимающего информацию с магнитной полосы и точно переносящего ее на другую карту, злоумышленники сумели украсть немало денег. Явление приобрело такие масштабы, что серьезно поколебало интерес потребителей к электронным деньгам. В целях защиты банки стали делать карты с голограммами, однако это также кардинальным образом не обеспечило безопасность карточных транзакций: поддельные голограммы в большом количестве изготавливались и сейчас изготавливаются в ряде стран Азии.

2.2 Карты с чипом или «смарт-карты»

Ненадежность магнитных карт побудила специалистов к поиску новых способов защиты информации. Следующим шагом в деле обеспечения безопасности стало изобретение карты с микросхемой в 1974 году французом Роланом Морено. Через несколько лет французская компания Bull разработала и запатентовала смарт-карту с встроенным микропроцессором. Впрочем, о том, кто на самом деле первым придумал умную карту, до сих пор идут споры. Например, англичанин Питер Хаукес (компания BTG Limited) утверждает, что смарт-карту в узком смысле этого слова (то есть не только с памятью, но и с микропроцессором, являющимся по сути миникомпьютером) в 1978 году изобрел его соотечественник Рой Брайт, работавший тогда в Париже, во французском «Телекоме». Тем не менее, пока изобретение Ролана Морено в гораздо большей степени востребовано бизнес-сообществом: в подавляющем большинстве платежные чиповые карты сейчас оснащены лишь защищенной памятью, поскольку именно этот вариант дает оптимальное соотношение с точки зрения цены и безопасности.

Чиповые технологии для банковских платежей начали широко внедряться во Франции с 1984 года после проведенных в 1982--1983 годах успешных испытаний системы с оборотом в 60 тыс. карт. Однако потребовалось еще 10 лет, прежде чем все французские банки стали использовать смарт-карты. В результате широкого освоения серийного производства смарт-карт в начале 90-х годов их себестоимость резко снизилась.

Объем памяти обычной чиповой карты составляет приблизительно 256 байт, но существуют карты с объемом памяти до 8 Кбайт и более. Таким образом, одна такая карта может заменить несколько магнитных, поскольку ее память способна вместить информацию о нескольких счетах, бонусных и дисконтных программах, имя, фамилию, адрес держателя и прочие сведения. Помимо платежных, карты с чипом могут быть дисконтными, социальными и даже удостоверяющими личность. В отношении защиты данных смарт-карты обладают целым рядом преимуществ по сравнению с магнитными картами. Во-первых, поскольку процесс создания смарт-карт достаточно сложен и под силу только специализированному крупному предприятию, то любая попытка «взломать» микросхему с помощью кустарного оборудования неминуемо приведет к ее разрушению. Во-вторых, при изготовлении карточек в каждую микросхему заносится уникальный код. Благодаря этому кодирование данных доступно только производителю карт. В-третьих, при выдаче карточки пользователю в нее заносится один или несколько секретных кодов (паролей), так называемых пин-кодов, известных только владельцу карты. Если карта утеряна или украдена и ее владелец сообщает о ЧП в банк, то эта карта попадает в список недействительных, рассылаемый по всем торговым терминалам. Такая практика дает возможность осуществлять авторизацию в оффлайновом режиме, что позволяет экономить значительные средства и время на организацию процедуры доступа к центрам авторизации.

Другое преимущество смарт-карт заключается в том, что они позволяют разнообразить пакет услуг, предоставляемых клиенту. Карту с чипом можно считать идеальным средством платежа, поскольку она обладает функциями «электронного кошелька», хранящего в своей памяти сумму денежных средств, которыми клиент банка может расплатиться за покупку. При этом «электронный кошелек» создает дополнительные удобства для клиента, так как последний имеет возможность контролировать свои активы на карте и при необходимости пополнять их, кредитуя карту в банке.

Правда, переход на чиповые технологии стоил недешево. По оценке экспертов, стоимость переоборудования одного рабочего места в магазине или в пункте выдачи наличных обходилась где-то в пределах от 200 до 700 долларов. К тому же, карта с чипом по своей стоимости была на порядок дороже магнитной. Впрочем, платежные системы и банки, использующие чиповые карты, могли компенсировать относительную их дороговизну за счет сокращения потерь от мошенничества и снижения расходов на авторизацию и связь.

2.3 Состояние рынка пластиковых карт до 2005 года

В начале 2005 года на российском рынке абсолютное большинство используемых карт имело магнитную полосу. Однако в тот период стал наблюдается опережающий рост чиповых карт. Во многом это можно было объяснить тем обстоятельством, что с 1 января 2006 года для банков-участников Visa International стран СЕМЕА (в том числе и России) вступало в силу так называемое Правило переноса ответственности. С наступлением этой даты ответственность за мошеннические операции должна была нести та сторона, которая либо не перешла на новый стандарт EMV, основанный на микрочиповых картах, либо не располагала терминалом для их приема. Стандарт EMV получил свое название по первым буквам компаний, его учредивших: Europay, MasterCard и Visa. В его основу был положен стандарт ISO 7816, разработанный специально для банковского сектора. Основной целью введения стандарта EMV являлось усовершенствование качества обслуживания потребителей пластиковых карт, дальнейшая стандартизация услуг операторов банковских пластиковых карт, но в первую очередь совершенствование систем защиты всех финансовых операций на любых уровнях.

По данным международной платежной системы Visa International, на начало второго квартала 2004 года российские банки-члены Visa выпустили около 600 тыс. чиповых карт. Таким образом, рост по объему эмиссии составил более 800% по сравнению с данными на конец 2002 года, когда количество чиповых карт Visa в России не превышало 65 тысяч. По приблизительным оценкам экспертов, доля смарт-карт в совокупном карточном обороте международных платежных систем в России на 2003 год составляла примерно 7,5%. В то же время отечественные платежные системы в 2003 году достигли впечатляющих результатов, выпустив более 6 млн карт с чипом. В результате уровень смартизации отечественных платежных систем оказался на порядок выше -- около 40%. Весомый вклад в «чипизацию всей страны» внесли платежные системы «Золотая корона» (в России она была одним из первопроходцев в деле перехода на интеллектуальные карты) и «Сберкарт». Почти каждая четвертая платежная карта в нашей стране в 2004 году работала на чипе. Тем не менее фактический уровень смартизации карточного оборота был гораздо ниже - 25%. Объясняется это тем, что по международным картам, среди которых доля магнитных значительно выше, в среднем проходили гораздо большие суммы платежей. К тому же производители чиповых карт в большинстве случаев были вынуждены снабжать их еще и магнитной полосой, так как банковская и торговая сеть была не готова к обслуживанию смарт-карт.

В США и Канаде карточный бизнес сложился значительно раньше, чем в странах Западной Европы, еще в дочиповый период. В результате в этих двух североамериканских странах банки вложили колоссальные средства в развитие инфраструктуры, основанной на использовании магнитных карт. Именно поэтому американские и канадские банкиры всячески стремились замедлить переход на смарт-карты, чтобы окупить свои вложения в уже действующее оборудование. По информации журнала Smart-info, до 2003 года международные платежные системы не планировали устанавливать какие-либо жесткие сроки вступления Правила переноса ответственности по мошенническим операциям для банков США и Канады. Однако в 2004 году Ассоциация канадских банков по собственной инициативе (в связи с ростом потерь от мошенничества) обратилась к Visa International и MasterCard International с предложением установить срок переноса ответственности на 1 января 2010 года, но для США аналогичная дата установлена не была.

Совершенно иной подход преобладал в Евросоюзе, где вступление в силу Правила переноса ответственности было намечено на 1 января 2005 года. Еще в 90-х годах ряд западноевропейских стран, столкнувшись с резким подъемом карточной преступности, в срочном порядке мигрировали на новые платежные технологии. Быстрая чипизация в странах Европы, по мнению экспертов, привела не только к сокращению местного мошенничества, но и к росту экспорта карточной преступности в Северную Америку. Так, по данным аналитического агентства Datamonitor, в период с 1999 по 2004 гг. в США количество выявленных фактов фальсификации платежных карт выросло на 121%. А совокупные потери банков от мошеннических операций по фальсифицированным картам в США и Канаде увеличились на 120%: с 95,6 млн. долларов в 1999 году до более чем 211 млн. долларов в 2004 году. При этом общий объем потерь от карточного мошенничества всех типов в США увеличился за этот период на 57%, достигнув 1,5 млрд. долларов.

2.4 Провал платёжных систем

В начале июня 2005 года в новостных программах по всему миру и сети Интернет появилось сообщение от представителей платежной системы MasterCard International о взломе компьютерной системы безопасности, жертвами которого могли стать миллионы держателей карт. Данная новость мгновенно распространилась и повергла в шок общественность.

Как сообщалось, 22 мая 2005 года 68 000 клиентов MasterCard получили указание проверить состояние счетов. MasterCard предупредила свои банки-агенты, что из-за взлома системы безопасности преступники могли получить доступ к личным данным 40 млн. держателей карт разных платежных систем. От взлома могли пострадать 22 млн. держателей карт Visa, 14 млн. держателей MasterCard и 6 млн. держателей карт American Express и Discover Financial (принадлежит инвестиционному банку Morgan Stanley). В руки злоумышленников могли попасть данные с именами клиентов, названиями банков и номерами счетов, сообщила пресс-секретарь MasterCard Шэрон Гэмсин. Такую информацию преступники обычно используют для снятия денег с чужого счета: MasterCard рекомендовала 68 000 держателям карт, которых она отнесла к высокому уровню риска, проверить состояние счетов.

Взлом выявила сама MasterCard: мониторинг, который компания проводит с целью предотвращения мошенничества, зафиксировал взлом защитной системы процессинговой компании CardSystems. Злоумышленники смогли проникнуть в сеть и получить доступ к личным данным держателей карт из-за несовершенства системы защиты CardSystems. Операционный центр компании пострадал от компьютерного вируса, который запустили хакеры, заявила Гэмсин. Обнаружив взлом, MasterCard начала расследование, в котором также участвовали банки-агенты, процессинговая компания и ФБР. По словам финансового директора CardSystems Майкла Брэди, руководство компании было “ошеломлено заявлением MasterCard”. Брэди не стал отвечать на другие вопросы, переадресовав их гендиректору компании Джону Перри и старшему вице-президенту по маркетингу Биллу Ривзу, которые были для журналистов недоступны.

Другие крупные платежные системы, клиенты которых могли пострадать от взлома, обращаться с предупреждениями к банкам не торопились. Пресс-секретарь American Express Джуди Тензер сказала, что CardSystems обслуживала менее 0,5% сделок, совершаемых компанией на рынке США. “Мы знаем о том, что произошло, следим за развитием ситуации и одновременно проводим собственное расследование”, -- добавила она. Представители Discover говорили, что в курсе случившегося, но не сообщали, как взлом коснулся компании. Visa инцидент не комментировала. Происшедшее в CardSystems -- это крупнейшая атака хакеров, которая могла привести к потере личных данных клиентов по вине компании. И это только один из подобных случаев, самый крупнейший инцидент, на самом деле на рынке пластиковых карт всё было очень не спокойно.

2.5 Последствия событий мая 2005 года

В свете участившихся случаев масштабных хищений информации о кредитных картах и их владельцах (основной движущей силой стали события, описанные ранее) крупнейшими международными платежными системами MasterCard Worldwide и Visa International в 2005 году был принят универсальный стандарт по обеспечению безопасности данных - Payment Card Industry Data Security Standard (PCI DSS). Стандарт был принят с целью обеспечить защиту информации электронных и платежных систем. Он содержит ряд требований, которым должны следовать кредитно-финансовые организации, процессинговые центры и любые компании, использующие данные пластиковых карт этих платежных систем. На сегодняшний день стандарт поддерживают также American Express, Discover/Novus, Diners Club, JCB.

В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

С сентября 2006 года PCI DSS введен международной платежной системой VISA на территории региона CEMEA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платежные шлюзы, Интернет-провайдеры), желающие работать напрямую с VisaNet должны проходить процедуру аудита на соответствие требованиям Стандарта.

Утечка 2008 года.

21 января 2009 года было объявлено о крупнейшей на сегодняшний день утечки данных держателей пластиковых карт. Heartland Payment Systems - оператор осуществления транзакций, обслуживающий свыше 250 000 организаций, во вторник предупредил своих клиентов о том, что из-за уязвимости в платежной системе данные их кредитных карт могут быть скомпрометированы.

В компании сообщили, что эксперты по безопасности обнаружили в ее компьютерной сети вредоносное программное обеспечение и призвали клиентов тщательно изучить месячные обороты по своим карточным счетам, сообщая обо всех неавторизованных транзакциях эмитентам имеющихся у них карт.

Решение о привлечении внешнего аудита было принято Heartland после того, как представители Visa и MasterCard сообщили о подозрительной активности, связанной с процессом проведения транзакций. В своем заявлении президент и финансовый директор Heartland Роберт Болдуин принес соответствующие извинения и с сожалением сообщил о том, что специалисты компании практически полностью уверены в факте кражи имен владельцев и номеров кредитных карт. В компании подчеркнули, что расследование инцидента проводится с привлечением специалистов Секретной службы США.

По мнению аналитиков, эта утечка претендует на звание крупнейшей за всю историю, так как предыдущее сомнительное достижение принадлежало TJX и составляло 45 миллионов карт. Также есть информация о том, что злоумышленникам удалось перехватить данные, считанные с магнитных полос обработанных карт, а этого более чем достаточно для создания поддельных кредиток.

Случаи, подобные вышеописанному указывают на то, что целью киберпреступников все чаще становятся не розничные магазины, а процессинговые компании, находящиеся в самом центре механизма проведения транзакций. Эта угроза выглядит намного более серьезной, поскольку объемы информации о платежных картах у ретейлеров и процессинговых центров несопоставимы.

Основные области контроля и требования безопасности.

PCI DSS определяет следующие 6 областей контроля и 12 основных требований по безопасности:

1. Построение и сопровождение защищенной сети:

Требование 1: Должны быть обеспечены разработка и управление конфигурацией межсетевых экранов в целях защиты данных платежных карт;

Требование 2: He должны использоваться параметры безопасности и системные пароли, установленные производителем по умолчанию.

2. Защита данных держателей карт:

Требование 3: Должна быть обеспечена защита данных платежных карт при хранении;

Требование 4: Должно обеспечиваться шифрование данных платежных карт, передаваемых по сетям общего пользования.

3. Поддержка программы управления уязвимостями:

Требование 5: Должно использоваться и регулярно обновляться антивирусное программное обеспечение;

Требование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложений.

4. Реализация мер по строгому контролю доступа:

Требование 7: Доступ к данным платежных карт должен быть ограничен в соответствии со служебной необходимостью;

Требование 8: Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор;

Требование 9: Физический доступ к данным платежных карт должен быть ограничен.

5. Регулярный мониторинг и тестирование сети:

Требование 10: Должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным платежных карт;

Требование 11: Должно выполняться регулярное тестирование систем и процессов обеспечения безопасности.

6. Поддержка политики информационной безопасности:

Требование 12: Должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудников и контрагентов.

Кроме того, 10 сентября 2006 года American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International выступили с совместным заявлением о создании независимого совета для координации работы по развитию Стандарта Безопасности Данных Индустрии Платежных Карт (Payment Card Industry Data Security Standard - PCI DSS) с целью усовершенствования защиты данных транзакций.

Создав независимый совет для работы над стандартом безопасности PCI DSS в платежной сфере, члены-основатели намерены развивать систему, более доступную и эффективную для всех участников платежного процесса, включая торгово-сервисные предприятия, процессинговые центры, торговые точки и финансовые организации.

Совет действует как консультационная группа и осуществляет общую разработку стандартов безопасности PCI DSS. Каждая платежная система по-прежнему несёт ответственность за внедрение собственных стандартизированных программ.

Совет по стандартам безопасности начал свою деятельность с принятия действующего и по сегодняшний день Стандарта информационной безопасности PCI DSS Версия 1.1. Стандарт направлен на определение уровня безопасности, а также формирование рекомендаций для торгово-сервисных предприятий и производителей, какие действия необходимо предпринять для повышения уровня защиты используемого программного обеспечения. Эта инициатива стала основой для дальнейшей унификации PCI DSS.

3. СОВРЕМЕННЫЕ ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ МЕЖДУНАРОДНЫХ ПЛАТЁЖНЫХ СИСТЕМ

После принятия Стандарта PCI DSS Версии 1.1. произошел переворот в организации безопасности информации в международных платёжных системах. Данный стандарт, по мнению его разработчиков, предусматривает все возможные угрозы, поэтому, в случае выполнения всех предписанных стандартом действий, кредитно-финансовые организации, процессинговые центры и любые компании, использующие данные пластиковых карт могут считать свою информацию защищенной от внешних угроз.

Рассмотрим подробнее каждое из 12 требований Стандарта и угрозы, связанные с ними.

Требование 1: Должны быть обеспечены разработка и управление конфигурацией межсетевых экранов в целях защиты данных платежных карт

Межсетевые экраны - это вычислительные устройства, контролирующие трафик, входящий в корпоративную сеть и исходящий из корпоративной сети, а также трафик к внутренним критичным подсетям. Межсетевой экран анализирует сетевой трафик и блокирует сетевые пакеты, которые не соответствуют определенным критериям безопасности.

Все системы должны быть защищены от несанкционированного доступа из сети Интернет, вне зависимости от способа доступа - посредством приложений электронной коммерции, доступа сотрудников компании к сети Интернет или электронной почте. В некоторых случаях казалось бы несущественные каналы исходящего и входящего интернет - трафика представляют собой незащищенные пути доступа к критичным системам. Межсетевые экраны являются основным механизмом защиты любой компьютерной сети.

Требование 2: He должны использоваться параметры безопасности и системные пароли, установленные производителем по умолчанию

Злоумышленники (внешние и внутренние) для компрометации систем часто используют параметры безопасности и пароли, заданные производителем. Эти параметры и пароли хорошо известны в хакерских сообществах и могут быть получены через открытые источники информации.

Требование 3: Должна быть обеспечена защита данных платежных карт при хранении

Шифрование является важнейшей составляющей защиты данных платежных карт. В случае обхода мер по защите сети и получения доступа к зашифрованным данным злоумышленник не сможет узнать содержимое данных или воспользоваться ими без наличия корректных криптографических ключей. Также с целью уменьшения рисков должны рассматриваться и другие эффективные методы защиты хранимых данных. Например, методы минимизации риска включают: отказ от хранения данных платежных карт, если только это не является необходимостью, усечение данных платежных карт, если не требуется наличие полного номера PAN, и запрет отправки номеров PAN в незашифрованных сообщениях электронной почты.

Требование 4: Должно обеспечиваться шифрование данных платежных карт, передаваемых по сетям общего пользования

Критичная информация должна шифроваться при передаче по сетям, в которых велика вероятность перехвата, модификации и изменения маршрута следования данных при их передаче.

Требование 5: Должно использоваться и регулярно обновляться антивирусное программное обеспечение

Большое количество вирусов проникает в сеть компании в результате обмена сообщениями электронной почты. На всех системах, которые подвержены воздействию вирусов, должно быть установлено антивирусное программное обеспечение для их защиты от вредоносного программного обеспечения.

Требование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложений

Злоумышленники используют уязвимости в системе защиты для получения привилегированного доступа в компьютерные системы. Большинство уязвимостей устраняются с помощью обновлений безопасности, предоставляемых производителями. Для защиты от эксплуатации уязвимостей внутренними и внешними злоумышленниками, а также вирусами на всех системах должны быть установлены последние выпущенные приемлемые обновления безопасности. Приемлемые обновления безопасности - это такие обновления, которые были в достаточной степени проанализированы и протестированы, чтобы определить, что их установка не приведет к конфликтам с действующими защищенными конфигурациями. Если выполняется разработка приложений внутри организации, большого количества уязвимостей можно избежать, используя стандартные процессы разработки систем и приемы безопасного программирования.

Требование 7: Доступ к данным платежных карт должен быть ограничен в соответствии со служебной необходимостью

Данное требование обеспечивает то, что доступ к критичным данным может быть осуществлен только авторизованными сотрудниками.

Требование 8: Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор

Назначение уникального идентификатора каждому лицу с правом доступа обеспечит возможность выполнения действий над критичными данными и системами авторизованными пользователями и отслеживания действий, выполненных конкретными авторизованными пользователями.

Требование 9: Физический доступ к данным платежных карт должен быть ограничен

Любой физический доступ к данным или системам, содержащим данные платежных карт, предоставляет возможность получения контроля над устройствами или данными, в том числе возможность удаления систем или печатных копий, и должен строго ограничиваться.

Требование 10: Должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным платежных карт

Механизмы регистрации событий и возможность отслеживания действий пользователей крайне необходимы. Наличие зарегистрированных событий во всех средах предоставляет возможность расследования и анализа при инцидентах. Определение причины компрометации является крайне затруднительным без журналов регистрации событий.

Требование 11: Должно выполняться регулярное тестирование систем и процессов обеспечения безопасности

Уязвимости постоянно обнаруживаются злоумышленниками и исследователями, а также вносятся вместе с новым программным обеспечением. Системы, процессы и разрабатываемое программное обеспечение должны периодически тестироваться в целях поддержания с течением времени, а также при любых изменениях в программном обеспечении надлежащего уровня защищенности.

Требование 12: Должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудников и контрагентов

Продуманная политика информационной безопасности определяет стратегию защиты информации в компании и распределяет обязанности за обеспечение безопасности. Все сотрудники должны быть осведомлены о необходимости защиты данных и своих обязанностях по их защите.

ЗАКЛЮЧЕНИЕ

В этой курсовой работе мною были рассмотрены пути становления и развития международных платёжных систем Visa International и MasterCard International. Кроме того, я попытался классифицировать основные проблемы обеспечения информационной безопасности в международных платёжных системах на основе Стандарта PCI DSS.

На мой взгляд, использование унифицированных требований в международных платёжных системах - закономерное явление. Данные требования дают неплохую гарантию безопасности, предусматривают основные угрозы утечки информации. Конечно, невозможно предусмотреть все чрезвычайные ситуации - пример этому прошлогодние случаи взлома систем безопасности ряда крупных процессинговых структур и сетевых мерчантов - , но использование Стандарта PCI DSS я считаю необходимым в работе любой кредитно-финансовой организации, процессингового центра и любой компании, использующей данные пластиковых карт.

Я считаю, что для борьбы с киберпреступностью недостаточно внедрения и выполнения современных Стандартов безопасности. Требуется также совершенствование Уголовного кодекса и ужесточение наказаний за компьютерные преступления.

ИСПОЛЬЗОВАННЫЕ ИСТОЧНИКИ

1. Брюков, В. Дорос ли до чипа российский пластик: У отечественных банков есть шанс «перешагнуть» магнитную полосу / Владимир Брюков // Банковское обозрение. - М., - 2004. - №11.

2. Информзащита НИП [Электронный ресурс]. - М.: Информзащита НИП, 2009. - . - Режим доступа: http://partners.infosec.ru/, свободный. - Загл. с экрана.

3. PCI Security Standards Council™ [Электронный ресурс]. - Wakefield: PCI Security Standards Council™, 2009. - . - Режим доступа: https://pcisecuritystandards.org/, свободный. - Загл. с экрана.

4. MasterCard International, Inc. [Электронный ресурс]. - NY: MasterCard International, Inc., 2009. - . - Режим доступа: http://www.mastercard.com/, свободный. - Загл. с экрана.

5. Visa International, Inc. [Электронный ресурс]. - San Francisco: Visa International, Inc., 2009. - . - Режим доступа: http://corporate.visa.com/, свободный. - Загл. с экрана.

Размещено на Allbest.ru