1 Анализ основных уязвимых мест и требований к платёжным системам

Для реализации защиты информации необходимо разработать концепцию комплексной системы защиты информации, поэтапно выполнять комплекс мер по её внедрению. На рисунке 1 показана структура платёжной системы России.

C точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:

• пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом;

• обработка информации внутри организаций отправителя и получателя сообщений;

• доступ клиентов к средствам, аккумулированным на счетах.

Пересылка платежных и других сообщений связана с такими особенностями:

• внутренние системы организаций отправителя и получателя должны обеспечивать необходимую защиту при обработке электронных документов (защита оконечных систем);

• взаимодействие отправителя и получателя электронного документа осуществляется опосредовано - через канал связи.

Эти особенности порождают следующие проблемы:

• взаимное опознание абонентов (проблема установления взаимной подлинности при установлении соединения);

• защита электронных документов, передаваемых по каналам связи (проблема обеспечения конфиденциальности и целостности документов);

• защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);

• обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным оррганизациям и взаимной независимости).

Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:

• управление доступом на оконечных системах;

• контроль целостности сообщения;

• обеспечение конфиденциальности сообщения;

• взаимная аутентификация абонентов;

• невозможность отказа от авторства сообщения;

• гарантии доставки сообщения;

• невозможность отказа от принятия мер по сообщения;

• регистрация последовательности сообщений;

• контроль целостности последовательности сообщений [3]

Рисунок 1 – Структура информационной сети электронной платёжной системы

1.1 Требования по конфиденциальности

И Интернет в целом, и любые платежи всегда тесно связаны с понятием конфиденциальности. Поэтому необходимо, чтобы платежная система сама по себе не навязывала пользователям никаких нарушений конфиденциальности, а предоставление расширенной и дополнительной информации всегда оставлялось на усмотрение пользователя. Таким образом, требования по конфиденциальности включают в себя:

• исключение возможности получения информации о действиях пользователей сторонними наблюдателями;

• обеспечение необходимой степени анонимности плательщика для получателя платежа;

• исключение возможности получения эмитентом информации о назначении платежа;

• исключение возможности получения эмитентом информации о том, с каким из поступлений на аккаунт получателя связано каждое из списаний с аккаунта плательщика.

2. Требования по реализации

Требования к реализации обычно направлены на простоту и надежность работы системы, поскольку отказы в таких решениях могут привести к большим финансовым потерям сторон. Требования по реализации обычно заключаются в следующем:

• Система должна быть простой - как с точки зрения пользователей, так и для разработчиков. Простота системы удешевляет и ускоряет ее реализацию и техническую поддержку, способствует расширению сообщества применяющих ее организаций и привлекает потребителей.

• Система должна базироваться на хорошо проверенной и надежной технологии, что также будет залогом простоты ее реализации и уверенности в достаточном уровне безопасности.

• Система должна иметь возможность работать с пользователями извне организации, использующей данную платежную систему, так как очевидно, что множество потенциальных пользователей не являются сотрудниками этой организации.